dacstoken - クラウド上のオンライン

プログラム：

NAME

dacstoken - ハッシュベースのワンタイムパスワードを管理する

SYNOPSIS

ダックストークン [ダックスオプション[1]][-すべて] [-ベース NUM] [-カウンタ NUM] [-桁 NUM]
[-無効にする | -有効] [-ホットウィンドウ NUM] [-inkeys アイテムの種類]
[[-キー キーバル] | [[-キーファイル ファイル名] | [[-キープロンプト]][-モード otpモード]
[-outkeys アイテムの種類]
[[-pin ピンバル] | [[-ピンファイル ファイル名] | [[-ピンプロンプト]][-ピン制約 STR]
[-rnd] [-シード STR] [-シリアル STR] [-totp-デルタ NUM] [-totp-drift nwindows]
[-totp-ハッシュ ALG]
[-totp-タイムステップ ドライ] [-vfs vfs_uri] [運用仕様] [ユーザ名]

DESCRIPTION

このプログラムはの一部です DACS 上。

当学校区の ダックストークン ユーティリティが管理する DACS ワンタイムパスワード（OTP）に関連付けられたアカウント
発電装置（トークン) またはソフトウェアベースのクライアントで実行できます。コマンドラインオプションを使用すると、
OTP値を計算します。トークンアカウントのパラメータは上書きできますが、アカウントは
必要。

強力な二要素認証は、次の場合に提供できます。 dacs_authenticate[2]が構成されている
使用します ローカルトークン認証[3] 認証モジュールまたは ダックストークン として使用されます
パスワードを検証するスタンドアロンプ​​ログラム。HMACベースのワンタイムパスワードモードと
（HOTP）はイベントカウンタに基づいており、 RFC 4226[4]そして時間ベースの
ワンタイムパスワードモード（TOTP）は、 最新の IETF インターネットドラフト[5] 提案、
サポートされています。 NEW オペレーショナル モード[6] OCRAと呼ばれる（誓い チャレンジレスポンス
アルゴリズムIETF インターネット ドラフトで説明されている ) は、まだ完全にはサポートされていません。

注意
このバージョンの ダックストークン 下位互換性のない多くの変更が組み込まれている
リリース1.4.24a以前では、一部のコマンドラインフラグの機能が異なります。
アカウントファイルの形式が変更されました。以前のバージョンでこのコマンドを使用したことがある場合は、
リリース前にトークンアカウントファイルのバックアップコピーを作成し、このマニュアルを確認してください。
続行する前にページをよく読んでください（ -変換 特に国旗[7]）。

重要
ベンダー提供のソフトウェアは必要ありません ダックストークン 機能を供給するために。
現在サポートされているデバイスは、登録や設定のやり取りを必要としません。
ベンダーと ダックストークン ありません 対話 　 ベンダーの サーバ or つかいます どれか
所有権 ソフトウェアベンダー提供のソフトウェアが必要になる場合があります。
ただし、他のトークンデバイスの初期化または構成、および ダックストークン ありません
彼らにそのようなサポートを提供しない。

各トークンデバイスは通常、管理されている1つのアカウントに正確に対応しています。
ダックストークンただし、複数のアカウントをサポートできるトークンを生産しているベンダーもあります。

要約すると、このユーティリティは次のようになります。

· 作成および管理 DACS カウンターベースおよび時間ベースに関連付けられたアカウント
ワンタイムパスワード

· 検証およびテスト機能を提供する

· コマンドライン認証機能を提供する

セキュリティ
だけ DACS 管理者は、このプログラムを
コマンドライン。 なぜなら DACS キーと構成ファイル (使用されるファイルを含む)
ストア アカウントは管理者に制限する必要があります。これは通常、
ただし、注意深い管理者は、すべてのファイルへのアクセスを拒否するようにファイル権限を設定します。
他のユーザー。

注意
当学校区の dacs_トークン(8)[8] ウェブサービスはユーザーに限定的なセルフサービスを提供している
アカウントのPINを設定またはリセットし、トークンを同期する機能もあります。また、
テストと評価を簡素化するデモ モードがあります。

PIN （アカウント パスワード
A ダックストークン アカウントにはオプションでPIN（パスワード）を関連付けることができます。
このようなアカウントに対して認証するには、ユーザーは生成されたワンタイムパスワードを入力する必要があります。
トークンによって 　 PIN。 トークンにはPINが必要です[9] 設定ディレクティブは
アカウントを作成またはインポートするときにPINを入力する必要があるかどうか。
と組み合わせて -デルピン 管理者のみが実行できるようにする必要があるため、フラグを設定します。
その機能。

アカウントレコードにはPIN自体ではなく、PINのハッシュが保存されます。
使用される方法 ダックスパスワード(1)[10]と dacs_passwd(8)[11]が適用され、
PASSWORD_DIGEST[12]と PASSWORD_SALT_PREFIX[13] 指令が有効である場合。
PASSWORD_DIGEST[12]が設定されている場合はそのアルゴリズムが使用され、そうでない場合はコンパイル時の
デフォルト（SHA1）が使​​用されます。ユーザーがPINを忘れた場合、古いPINを復元することはできません。
削除するか、新しいものを設定する必要があります。

一部のトークンデバイスにはPIN機能が組み込まれています。ユーザーはPINを入力する必要があります。
デバイスがワンタイムパスワードを発行する前に、デバイスにPINコードを入力します。この「デバイスPIN」は
によって管理されるアカウントPINとはまったく異なります ダックストークンこのマニュアルは
のみに関心がある ダックストークン PIN。可能な場合は常にデバイスのPINを使用してください。
　 ダックストークン PINは強く推奨されており、2要素認証には必須です。
(追加の認証要素が他の方法で適用されない限り)。

このコマンドは管理者のみが実行できるため、制限はありません。
管理者が提供するPINの長さや品質に関する警告メッセージ
ただし、パスワードが弱いと判断された場合は、
PASSWORD_CONSTRAINTS[14] 指令。

単発講座 パスワード
どちらのタイプのワンタイムパスワードデバイスも、安全な方法を用いてパスワード値を計算します。
鍵付きハッシュアルゴリズム（RFC 2104[15] FIPS 198[16]）。カウンターベースの方法では、デバイスは
サーバーは秘密鍵とカウンタ値を共有し、それらをハッシュ化して数値を生成します。
特定の基数と特定の桁数で表示される値。成功
認証では、デバイスとサーバーが一致するパスワードを計算する必要があります。
デバイスがパスワードを生成すると、カウンターが1つ増加します。サーバーが一致するパスワードを受信すると、
パスワードを入力すると、カウンタが増加します。2つのカウンタが
同期されていない場合、サーバーのマッチングアルゴリズムは通常、クライアントのパスワードが
カウンタ値の「ウィンドウ」内に収まるようにする。時間ベースの方法も同様で、主な
違いは、現在のUnix時間（ 時間(3)[17]（例えば）は
計算のカウンター値として機能する「時間ステップウィンドウ」を確立するために使用される
セキュアハッシュの。デバイスとサーバーのリアルタイムクロックが
十分に同期されている場合、サーバーのマッチングアルゴリズムはクライアントの
これらのデバイスのパスワードは、いくつかのタイムステップウィンドウ内に収まる必要があります。

セキュリティ
トークンには、そのトークンの所有者によって永久秘密鍵（OTPシードと呼ばれることもある）が割り当てられる。
メーカーによって異なる場合や、キーがプログラム可能な場合もあります。この秘密鍵はトークンの
パスワード生成手順は複雑であり、秘密にしておくことが重要です。トークンが
プログラムできない場合、キーはベンダーから取得されます（HOTPトークンの場合は通常
デバイスのシリアル番号と3つの連続したパスワードを入力することで、
シリアル番号から秘密鍵への各マッピングは安全な場所に保管する必要があります。

ソフトウェアクライアントの場合のように秘密鍵がプログラム可能な場合は、
少なくとも 128 ビットの長さ、最小 160 ビット がおすすめ。 ザ・
キーは16文字（またはそれ以上）のXNUMX進文字列で表されます。キーは
暗号品質の乱数ビット源から得られる。一部のクライアントは
適切なキーを生成する能力がありますが、 ダックスプレ(1)[18]：

% dacsexpr -e "ランダム(文字列, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"

先端
トークンは、コンピュータのサインオン以外の認証目的にも使用できます。
例えば、口座番号、PIN、トークン値を入力すると、顧客はすぐに
電話で認証できるため、高価で手間のかかる
時間のかかるセキュリティの質問。

ワンタイム パスワード デバイスおよびアプリケーションには、次の動作パラメータがあります。
これらのパラメータは、生成されるパスワードシーケンスを決定します。一部の運用上の
パラメータは（関連する標準または実装によって）固定される可能性があるが、
その他は、ユーザーが部分的または完全に設定できる場合があります。
詳細については、参考資料および製造元のドキュメントを参照してください。

ベース
パスワードが表示される基数。

カウンタ
HOTP モードのみ、現在のカウンター値。

数字
各ワンタイムパスワードの桁数。

キー
秘密鍵（OTP シード）。

シリアルナンバー
デバイスの一意の識別子または名前。

時間ステップサイズ
TOTPモードのみ、各時間間隔の幅（秒単位）。同じパスワード
指定された間隔内で生成される。つまり、これが「有効期間」または有効期間である。
各 TOTP パスワードの有効期間。

これらのパラメータに加えて、 ダックストークン アカウントごとに（つまりデバイスごとに）複数の
パラメータ：

受け入れウィンドウ
HOTPパスワードを検証する際、検証後に考慮するパスワードの最大数は、
予期されるパスワード。

ドリフト
TOTPモードのみ、サーバーのクロックを調整する秒数
デバイスとの同期を向上させるために、前後に移動します。これは
トークンやクライアントソフトウェアのクロックが適切に同期していない場合に補正する
サーバーの。

ドリフトウィンドウ
TOTPモードのみで、accept-windowと同様に、
検証時に前方および後方に検索する間隔（各時間ステップサイズ）
指定されたパスワードに対して。

同期OTPS
HOTPモードのみ、
アカウントをデバイスと同期します。

ユーザ名
の名前 DACS デバイスにバインドされたアカウント。

ワンタイム パスワード デバイスに基づく認証には、次のような利点があります。

· ユーザーが認証するたびに、異なるパスワードが生成されます（高
確率）なので、ユーザーは「パスワード」を書き留めることができません。なぜなら、パスワードは
常に変更され、ユーザーはパスワードを忘れることができません。

· 一度使用すると、HOTPモードのパスワードはすぐに「消費」され、使用される可能性は低くなります。
適切な設定パラメータを使用すると、TOTPモードのパスワードが長期間にわたって有効になります。
比較的短い時間間隔で自動的に「期限切れ」となり、
長期間にわたって再び使用される。

· クロックドリフトの補正が必要ない場合、TOTPモードアカウントは読み取り専用にすることができます。
操作;

· パスワードは簡単に推測できる数字や文字列ではないため、
ユーザーが選択したほとんどのパスワードよりも強力であること

· HOTPトークンは相互（双方向）認証方式の基礎となることができます。
サーバーはユーザーにトークンの次のパスワードを表示して、その身元を確認します（
カウンターを進める側）、クライアントはサーバーに次のパスワードを示す
身元を確認するため;

· キー スニファがユーザーのコンピュータにインストールされている場合、スニッフィングされたパスワードは無効になります。
攻撃者にとって何のメリットもありません 中間者 攻撃[19]は可能である。 N
連続したパスワードではパスワードを計算するのはまだ非常に困難です N + 1 無し
秘密鍵を知っていること

· ユーザーがアカウントを共有することがより困難になります（ただし、ユーザーがアカウントを共有することは時々あります）。
これを不便とみなす);

・ もし ダックストークン PINがアカウントに割り当てられ、攻撃者がアカウントの
トークンを使用しても、攻撃者が PIN を知らずに認証することは依然として困難です。

· アカウントを無効にする迅速かつ効果的な方法は、単に
ハードウェアトークン（例えば、従業員が解雇された場合）は、アカウントを無効にすることができます。
このプログラムまたは 失効 リスト[20]

· 携帯電話やPDAなどのモバイルデバイス上で動作するソフトウェアクライアントの場合、
ユーザーは既にデバイスを持ち歩いており、無料のクライアントも利用できるので、
追加料金は発生しない場合があります（モバイルデバイスでは同じ機能が提供されない場合があります）。
ハードウェア トークンの耐改ざん性、耐久性、キーの機密性、クロックの精度など)。

ワンタイム パスワード デバイスには、次のような潜在的な欠点があります。

· ハードウェアトークンには1回限りの費用がかかります（購入量によって異なります）。
10人あたり100～XNUMXドルの費用がかかると予想され、
紛失または壊れたトークン、またはトークンの電池を交換します（一部のユニットには
バッテリーは交換不可能なので、数年後には使い捨てになります。

· 初期設定は他の認証方法に比べてやや難しい
方法、デバイスに慣れていないユーザーには、
使用する;

· 通常は非常に小さく（例えば5cm x 2cm x 1cm）、
キーホルダーやストラップ、財布に入れて持ち歩く場合、ユーザーはトークンを持ち歩かなければならないことにうんざりするかもしれない。
彼らと一緒にいる;

· ユーザーがトークンを忘れたり、紛失したりする可能性があります。

· モバイルデバイス（ソフトウェアクライアント付き）は盗難の標的になる可能性が高い。
ハードウェア トークンよりも優れています (そのため、このデバイスでは PIN がさらに重要になります)。

· ハードウェアトークンとは異なり、キーはアクセス不可能な改ざん防止のメモリに焼き付けられます。
メモリに設定されているキーは、ソフトウェアクライアントによって読み取られる可能性があります。
所有者、アカウントの共有が可能。

· 40文字以上のシード値をモバイルデバイスに入力するのは面倒な場合があります
エラーが発生しやすくなります。

· TOTPデバイスがパスワードを生成すると、新しいパスワードは生成できなくなります。
次のタイムステップウィンドウが表示され、ユーザーは30秒（場合によっては60秒）待つ必要があります（例：
入力ミスがあった場合

· 一部のデバイスは暗い場所では読みにくいため、老眼のユーザーや
視力に障害がある場合、ディスプレイの読み取りが困難になることがあります。

アカウント
管理されているアカウント ダックストークン は、
local_passwd_authenticate[21] またはその他 DACS 認証モジュール。

HOTPとTOTPデバイスのアカウントは、統合することも、別々に保管することもできます。仮想
ファイルストアのアイテムタイプauth_hotp_tokenが定義されている場合、関連付けられているアカウントにのみ使用されます。
HOTPトークンを使用します。同様に、仮想ファイルストアのアイテムタイプauth_totp_tokenが
定義されていない場合は、TOTPトークンに関連付けられたアカウントにのみ使用されます。いずれかのアイテムタイプが
定義されていない場合、アカウントは DACSの アイテムタイプを使用した仮想ファイルストア
auth_token。アカウントデータベースのファイル権限は、すべての
アクセスは管理者に制限されており、 ローカルトークン認証.

2種類のデバイスアカウントが 組み合わせたそれぞれのユーザー名は
認証方法は一意である必要があり、個人が両方の種類のトークンを持っている場合は、
異なるユーザー名を割り当てることができます。例えば、AuggieがHOTPトークンを1つ、そして
TOTPトークンの場合、前者はユーザー名auggie-hotpに対応し、後者は
auggie-totp; サインオンフォームにはデバイスモードの入力が含まれる可能性があり、Auggie
ユーザー名欄に「auggie」と入力するだけで、JavaScriptが自動的に追加されます。
選択したデバイスモードに基づいて適切なサフィックスが付与されます。この方法の明らかな欠点は、
構成上の特徴は、2つの異なる DACS 同じ個人のアイデンティティ。
アクセス制御ルールでオーギーを識別する必要がある場合は、これを覚えておく必要があります
明示的に。両方のトークンが同じ DACS アイデンティティ、Auth句は
認証が成功した後にサフィックスを削除しますが、管理者はその後
それぞれ異なるデバイス タイプを使用する 2 つの異なる Auggie のケースに注意する必要があります。

auth_hotp_tokenとauth_totp_tokenのアイテムタイプの両方（またはどちらか一方）を設定する
認証トークンと認証トークンによってアカウントが分離され、同じユーザー名を
両方のタイプのデバイス。そのため、Auggieは同じアカウント記録を持つことができます。
両方のデバイスタイプのユーザー名。この方法では、デバイスモードを指定する必要があります。
正しいアイテムタイプを使用できるように操作が要求された場合、これは
ユーザーは、使用しているデバイスの種類を知る必要があります (おそらくラベルを貼るなどして)。
重要な詳細を参照してください DACS アイデンティティ[22]

当学校区の -vfs auth_token 項目タイプを構成または再構成するために使用されます。

最小キー長要件を満たすキーのみ（16 バイト）は、
アカウント情報（例： -セットする or -輸入）。他の文脈では、要件は
強制されません。

秘密鍵は次のように暗号化されます。 ダックストークン アカウントファイルに書き込まれるときに
仮想ファイルストアのアイテムタイプauth_token_keysは、暗号化キーを識別します。 ダックストークン
使用する; -inkeys 　 -outkeys フラグは代替を指定します (「 ダックスキー(1)[23]）。もし
暗号化キーが失われると、秘密キーは事実上回復不可能になります。

重要
攻撃者が秘密鍵を発見した場合、
トークンは難しくありません。少なくとも一部のハードウェアトークンでは、鍵は焼き付けられます
デバイスに入力され、変更することはできません。この場合、キーが漏洩するとデバイスが
破棄する必要があります。トークンを紛失した場合、対応するアカウントは無効化される必要があります。
攻撃者が紛失したトークンを見つけたり、秘密鍵を発見した場合、強力な
アカウントに紐付けられたPINにより、攻撃者が情報を入手することが困難になります。
アクセス。

重要
· この認証方法は、次の OTP 製品に対してテストされています。

· オーセネックス Aキー 3600[24] ワンタイムパスワード（HOTP）ハードウェアトークン

· Feitian テクノロジー[25] OTP C100およびOTP C200ワンタイムパスワードハードウェア
トークン提供元 ハイパーセキュ 情報 システム[26]; と

· 誓い Next[27] Archie Cobbsによるソフトウェアアプリケーション。
HOTPとTOTP iPodの 接する、 iPhone 　 iPad[28]。

· フェイティアンテクノロジーズ iOATH Lite[29] iPod用HOTPソフトウェアアプリケーション
タッチ、iPhone、iPad。

製品のサポートに興味のある他のメーカー DACS 　
Dssへのお問い合わせを歓迎します。

· 写真[30]: フェイティアンOTP C200、OATHトークンアプリを搭載したiPod Touch、Authenex A-Key
3600（左上から時計回り）

· この実装は、同様の適合製品で動作するはずですが、
これらの製品は公式にサポートされています DACS.

· ハードウェア トークンはベンダーから直接購入できます。

· トークンを使用して認証する際に問題が発生した場合 DACS ではない
トークンベンダーの責任。

インポート 　 エクスポート OTP アカウント
アカウントとそのトークンの説明をロードまたはダンプすることができます（ -輸入
　 -書き出す フラグ）。これにより、一括プロビジョニング、バックアップ、移植性が簡素化されます。
アカウント情報は、シンプルな、アプリケーション固有の (ほぼ) XML 形式で記述されます。

理解できるフォーマット ダックストークン ルート要素（「otp_tokens」）とそれに続く
0個以上の「otp_token」要素（1行に1つずつ、それぞれ必須およびオプション）
属性（後述）は省略する必要があります。XML宣言は省略する必要があります。先頭の空白と
空行は無視され、単一行のXMLコメントも無視されます。また、「#」を含む行は無視されます。
最初の非空白文字として指定されたものは無視されます。
存在する場合はデフォルト値が割り当てられます。デフォルトのダイジェストアルゴリズムはSHA1です。ショート属性
名前はスペースを節約するために使用されています。認識されない属性、および
デバイスモードは無視されます。XML属性内の一重引用符または二重引用符（あるいはその両方）
値は対応するエンティティ参照（「'」と「"」）に置き換える必要があります。
それぞれ「<」（小なり）と「&」（アンパサンド）の文字も同様です。「>」（大なり）
文字「>」はオプションで「>」シーケンスに置き換えられるが、他のエンティティは置き換えられない。
参照が認識されます。

認識される属性は次のとおりです。

· b:
ベース
-- OTP値の基数
[オプション:
10 （デフォルト）、
16または 32]

· c:
カウンタ
-- HOTPの現在のカウンター値（先頭に16進数で表示）
「0x」（または「0X」）、それ以外の場合はXNUMX進数
[オプション:
デフォルトは 0]

· d:
OTP デバイス モード
-- "c" (HOTPの場合)
または「t」（TOTPの場合）
[必須]

· dn:
ダイジェスト名
-- セキュアハッシュアルゴリズムの1つ
[オプション:
SHA1（デフォルト）、
SHA224、SHA256、
[SHA384、SHA512]

· 博士:
クロックドリフト
-- TOTP のクロック調整（秒単位）
[オプション]

· ek:
暗号化キー
-- 暗号化された秘密鍵、Base64エンコード
[必須：
OTPアカウント記録のみ]

· ja:
有効ステータス
-- 1 有効の場合、
0 障害者用
[必須]

· け:
平文キー
-- 暗号化されていない秘密鍵
[必須]

· lu:
最終更新
-- 最後のレコード更新の Unix 時間
[オプション: デフォルトは現在の時刻]

· nd:
n桁
-- OTP値の桁数
[オプション:
デフォルトは 6 HOTPの場合、
8 TOTP用]

· p:
プレーンテキストPIN
-- アカウントのプレーンテキストの PIN 値
[必須：
phが存在しない限り、
[輸入専用]

· 電話番号:
ハッシュ化されたPIN
-- アカウントのハッシュ化されたPIN値
[オプション:
によって生成されます ダックストークン
エクスポートおよびOTPアカウントファイルのみ]

· s:
シリアルナンバー
-- デバイスの一意の識別子文字列
[必須]

· ts:
時間ステップ
-- TOTPのタイムステップ値（秒単位）
[オプション:
デフォルトは 30]

· あなた:
ユーザ名
-- 有効な DACS このアカウントに関連付けられたユーザー名
[必須]

次の例では、 -輸入 フラグ：







セキュリティ
インポートされたレコードにはOTPデバイスの暗号化されていない秘密鍵が含まれているため、
エクスポートしたファイルは暗号化されたままにしておく必要があります（例： opensslの）または少なくとも
適切なファイル権限。

注意
OTPデバイスプロビジョニングの標準フォーマットが開発中です。このフォーマットは
将来のバージョンで理解される ダックストークンまたは、変換ユーティリティが作成される場合もあります。
標準フォーマットは、 DACS 形式でダウンロードすることができます。

OPTIONS

標準に加えて ダックスオプション[1]、コマンドラインフラグの長いリストは
認識されます。 ユーザ名 が指定された場合、そのアカウントに関連付けられたデフォルト値は
使用されていない場合は推奨または実装固有のデフォルトが使用されます。これらのデフォルト
値は通常コマンドラインで上書きできます。一部のフラグは
特定のトークンモード（例： -カウンタ, -トップ-ショー）そしてその出現は、モード、
その -モード フラグは不要です。他のフラグはモードに依存しません（例： -削除,
-有効互いに互換性のないフラグの組み合わせを使用するとエラーになります。
選択された操作に意味のないものは無視されますが、それでもモードを意味します。
16進値は大文字と小文字を区別しません。カウンタ値が必要なのに指定されていない場合は
(例: アカウントを作成するとき)、初期カウンター値 0 が使用されます。

当学校区の 運用仕様 実行する操作を0個以上の 修飾子
フラグ。 もしも 運用仕様 が欠落している場合、 -リスト 操作が実行されます。 運用仕様 の一つであります
次のとおりです。

-認証 otp値
この旗は -検証[31]ただし、

・ NS ユーザ名 は必須であり、そこからすべてのパラメータ（キーなど）が取得されます。

· アカウントに PIN がある場合はそれを提供する必要があります。

· アカウントがHOTPトークン用の場合、認証されるとカウンターが更新されます
成功です。

終了ステータスがゼロの場合は認証成功を示し、それ以外の場合は
認証に失敗したことを意味します。

-変換 ファイル名
古い形式（リリース1.4.25以前）のトークンアカウントファイルをロードします ファイル名 （「-」
stdinから読み込むという意味で、新しい形式に変換し、stdoutに書き込む（
by -書き出すこのフラグは非推奨であり、この機能は将来削除される予定です。
のリリース DACS.

-作成
のアカウントを作成する ユーザ名は、すでに存在していてはならない。他の点では
のように動作します -セットする[32] 新しいアカウントを作成する場合、 -シリアル が必要であり、 -キー is
暗示されていません。 -有効 アカウント作成時にフラグが提供されます。 -無効にする 暗示されています。
ない場合 -カウンタ フラグが指定されている場合は、デフォルトの0が使用されます。PINフラグのいずれかが
PINがない場合は、アカウントは割り当てられません。
PIN が必要です (または既存の PIN は変更されません)。

-現在
現在の移動係数（HOTPのカウンタ値または間隔）を表示します。
TOTPの値と期待OTP ユーザ名HOTPの場合、カウンターは進みます。すべて
パラメータはアカウントから取得されます。

-削除
のアカウントを削除する ユーザ名デバイスの秘密鍵とその他の操作
パラメータは失われます。

-デルピン
アカウントにPINがある場合は削除します ユーザ名、アカウントは
PIN

-書き出す
すべてのアカウントに関する情報を記入するか、 ユーザ名 与えられた、に
stdout。ただし、モードを選択した場合は、そのモードのアカウントのみが
書き込まれました。この情報は以下を使用して再読み込みできます。 -輸入 or -インポート-置換出力
暗号化された形式で保存するか、少なくともファイル権限を設定する必要があります
適切に設定してください。例:

% dacstoken -uj 例 -export | openssl enc -aes-256-cbc > dacstoken-exported.enc

後で、次のようなことを行うかもしれません。

% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj 例 -import -

-h
-助けて
ヘルプメッセージを表示して終了します。

-ホットページショー NUM
ディスプレイ NUM 指定されたカウンター値とキーから連続したHOTPパスワードを生成します。
-カウンタ フラグはカウンタの初期値を指定するために使用できます。キーは
を使用して指定 -キー, -キーファイルまたは -キープロンプト。 もし ユーザ名 提供されている場合、
初期カウンター値とキーは、ユーザーのHOTPアカウントから取得されます。ただし、
値はコマンドラインで上書きされます。アカウントに保存されているカウンター値は
変更されました。これは主にデバッグを目的としています。

-輸入 ファイル名
-インポート-置換 ファイル名
アカウントとトークン情報を読み込む ファイル名; もし ファイル名 "-"の場合はstdinが読み込まれます。
モードを選択した場合、そのモードのアカウントのみが読み込まれます。 -輸入 それは
インポートされたアカウントがすでに存在する場合はエラーが発生し、処理が停止します。 -インポート-置換
既存のアカウントをインポートされたデータに置き換えます。

-l
-リスト
-長いです
If ユーザ名 提供されている場合は、対応するアカウントの情報を表示します。
-シリアル フラグが指定されている場合は、指定されたシリアル番号のアカウントの情報を表示します。
番号、そうでない場合はすべてのアカウントをリストします。 -モード いずれの場合もフラグが付けられ、
ただし、動作モードが指定されているアカウントのみをリストします。
フラグが繰り返されるか、 -長いです フラグ、デバイスタイプ、
アカウントステータス、デバイスのシリアル番号、カウンター値（HOTPの場合）、クロックドリフト値（
TOTP）、アカウントにPINがあるかどうか（「+」または「-」記号で示されます）、および
アカウントが最後に変更された日時。

-名前を変更 新しいユーザ名
既存のアカウントの名前を変更する ユーザ名 ようにするには 新しいユーザ名、新しい
コマンドライン引数を使用してアカウントを作成する（ -セットする[32]）。これにはXNUMXつのステップが必要であるため、
アトミックに行われない場合、エラーが発生した場合、新しいアカウントが
新しいアカウントが作成され、古いアカウントがまだ存在します。

-セットする
当学校区の -セットする フラグは既存のアカウントを変更するために使用されます ユーザ名 1つ以上の
修飾子引数（-ベース, -カウンタ, -桁, -無効にする or -有効, -キー （または -キーファイル
or -キープロンプト), -pin （または -ピンファイル or -ピンプロンプト）、または -シリアル）。モードは
指定することで変更 -モードただし、アカウントに関連付けられたモード固有のパラメータ
失われます（例：HOTPアカウントが削除されると、現在のカウンター値が削除されます）。
TOTPアカウントに変更され、一般的なパラメータ（シリアル番号など）は
コマンドラインで上書きされない限り保持されます。

- 同期 パスワードリスト
HOTPモードでは、サーバーとトークンの同期を試みます。 ユーザ名を選択します。
パスワードリスト は、コンマで区切られた3つの連続するパスワードのリストです。
ユーザーのトークン（この「自動同期」機能は、
ローカルトークン認証[3]）。与えられたシーケンスは計算されたシーケンスと一致しなければならない。
正確に有効な動作パラメータが与えられている。例えば、先頭のゼロは
有効なOTPの桁数と表示基数も重要です。
同期が成功すると、ユーザーは次の方法で認証できるようになります。
デバイスによって生成されたパスワード。増加法を用いた網羅的な検索アルゴリズム
カウンタ値が採用されており、コンパイル時に最大数に制限がある。
計算。検索は、サーバーに現在保存されているカウンター値から開始されます。ただし、
1つは以下を使用して提供されます -カウンタ失敗した場合、この操作には長い時間がかかる可能性があります
終了する前に、ユーザーは管理者に連絡して支援を受ける必要があります。

TOTPモードでは、システムクロックがどの程度正確に同期しているかを判断します。
トークンのクロックを計測し、結果を表示します。この情報は、
ユーザーのトークン記録を、同期が不十分な時計を補正したり、調整したりするために
検証パラメータ。トークンのキーとダイジェストアルゴリズムの名前は
トークンレコードの取得 ユーザ名与えられている場合はキー、そうでない場合はキー
プロンプトが表示され、使用するダイジェストアルゴリズムはコマンドから取得されるか、
行またはデフォルト。最初のパスワードのみ パスワードリスト 使用されている。 の
-totp-タイムステップ, -桁, -totp-base オプションはこの操作中に有効になります。

-テスト
いくつかのセルフテストを実行して終了します。終了ステータスがゼロ以外の場合は、エラーが発生したことを意味します。

-トップ-ショー NUM
現在有効なパラメータを使用して、TOTP パスワードのシーケンスを表示します。
間隔サイズ（-totp-タイムステップ）、桁数（-桁）、およびベース（-ベース）。 ザ
アカウントに保存されたパラメータは変更されません。これは主にデバッグを目的としています。
目的。

もし ユーザ名 （TOTPデバイスに関連付けられている必要があります）が提供される場合、キーと
コマンドラインで上書きされない限り、アカウントに保存されている他のパラメータが使用されます。
フラグ。パスワードのシーケンスは NUM 現在時刻の前後の間隔、
現在の時刻のパスワードとともに印刷されます。

ない場合 ユーザ名 が与えられると、プログラムはキーの入力を促し（エコーされる）、
コマンドラインフラグまたはパラメータのデフォルト値。その後、TOTPパスワードを出力します。
リターン/エンターキーを押すたびに現在の時刻が設定されます。EOFを入力すると、直ちに
終了。

-検証 otp値
If otp値 次に予想されるワンタイムパスワードの場合は、終了ステータス0を返します。
は成功を示し、それ以外の値は失敗を示します。 ユーザ名 与えられたパラメータ
検証に必要な情報（キーを含む）は、上書きされない限り、そのアカウントから取得されます。
コマンドライン。サーバーの状態は変更されません。例えば、HOTPカウンタは変更されません。
上級。いいえの場合 ユーザ名 与えられた、 -モード フラグを使用し、パラメータ
そのモードに必要なキーを含む値を指定する必要があります。HOTPモードの場合は、カウンター値
提供する必要があります。TOTPモードでは、コマンドラインパラメータはこの間有効です。
検証 ダックストークン テストします otp値 パラメータを検証する
効果。

以下 修飾子 フラグは次のように理解されます:

-すべて
自律的AI -セットする そしていいえ ユーザ名変更を適用する を アカウント。これを使用して
たとえば、すべてのアカウントを有効または無効にすることができます。 -inkeys 　 -outkeys フラグは
エラーが発生した場合、処理は直ちに停止し、その場合、一部の
アカウントが変更された可能性があります。

-ベース NUM
　 NUM OTPを表示する際の基数として。 NUM 制限されている
10 （デフォルト）、 16または 32.

-カウンタ NUM
これは設定する8バイトのHOTPカウンタ値であり、先頭に
0x（または0X）で表され、それ以外の場合はXNUMX進数で表されます。先頭のゼロは省略できます。これはHOTPを意味します。
モード。トークンデバイスでは、カウンタをリセットすることはできません（カウンタを法として
オーバーフローが発生すると、パスワードシーケンスが繰り返されることになるので、
鍵は変更されないこと。ソフトウェア実装ではこの制限がない可能性がある。
ただし、セキュリティ上の影響には注意してください。

-桁 NUM
　 NUM OTPを表示する際の数字。 NUM 制限されている 6, 7, 8 （
デフォルト）、または 9 ベース付き 10。限定されます 6 ベース付き 32 そして無視される
ベース 16 (16 進出力)。

-無効にする
～のアカウントを無効にする ユーザ名を選択します。 ローカルトークン認証 モジュール、および -認証 　
-検証 フラグが設定されている場合は、アカウントが承認されるまでユーザーは認証できません。
有効になっていますが、アカウントで他の操作は引き続き実行できます。 -有効
その後使用されると、アカウントは認証に使用できるようになり、
無効化された時点の状態に復元されます。無効化してもエラーにはなりません。
すでに無効化されたアカウント。

-有効
アカウントを有効にする ユーザ名を選択します。 ローカルトークン認証 モジュールは、
認証するユーザー。すでに有効になっているアカウントを有効にしてもエラーにはなりません。

-ホットウィンドウ NUM
予想されるHOTPパスワードが与えられたパスワードと一致しない場合は、
NUM シーケンス内の期待パスワードの後のパスワード。0の値は NUM
この検索を無効にします。

-inkeys アイテムの種類
秘密鍵を復号するには、 アイテムの種類、おそらく
dacs.conf で設定されます。

-キー キーバル
　 キーバル 秘密キーとして、16 進数の文字列として表現されます。

セキュリティ
コマンドラインでキーを指定するのは安全ではありません。
その他のプロセス。

-キーファイル ファイル名
16進数の文字列で表される秘密鍵を以下から読み取ります。 ファイル名。 場合 ファイル名 is
"-" の場合、キーは標準入力から読み取られます。

-キープロンプト
秘密鍵（16進数文字列）の入力を求めます。入力内容はエコーされません。

-モード otpモード
これは、使用するトークンの種類（OTPデバイスモード）を指定します（大文字と小文字を区別しません）。
　 -セットする, -作成、検証および同期操作。 otpモード 多分
カウンターモードの場合はcounterまたはhotp、時間ベースモードの場合はtimeまたはtotpのいずれかです。
新しいアカウントを作成するときはフラグが必要です。

-outkeys アイテムの種類
秘密鍵を暗号化するには、 アイテムの種類おそらく定義される
dacs.conf 内。

-pin ピンバル
　 ピンバル アカウントの秘密の PIN として。

セキュリティ
コマンドラインでPINを入力するのは安全ではありません。PINは他人に見られる可能性があるからです。
その他のプロセス。

-ピン制約 STR
使用する代わりに PASSWORD_CONSTRAINTS[14]、使用 STR （同じ構文を持ち、
PIN の要件を記述するための PIN セマンティクスを使用します。

注意
PINの要件は、コマンドラインフラグ経由で取得されたPINと、
インポート（「p」属性を使用）によって取得されます。要件は
ただし、「遡及的」であるため、要件の変更はPINには影響しません。
既存のアカウント、または以前にエクスポートされたアカウント（
「ph」属性）。

-ピンファイル ファイル名
秘密のPINを読み取ります ファイル名。 場合 ファイル名 "-" の場合、PIN は標準入力から読み取られます。

-ピンプロンプト
秘密のPINの入力を求めます。入力内容はエコーされません。

-rnd
将来使用するために予約されています。

-シード STR
将来使用するために予約されています。

-シリアル STR
シリアル番号、 STRは、トークンに割り当てられた（と思われる）一意の識別子です。
このオプションは、 -セットする, -作成, -リスト フラグ。シリアル番号
特定のOTPデバイスを識別するものであり、秘密にしておく必要はありません。一意性
アイテムタイプストレージユニット内で強制されます。つまり、すべてのHOTPのシリアル番号は
デバイスは一意である必要があり、すべてのTOTPデバイスのシリアル番号は一意である必要があり、
2種類のデバイスアカウントを統合する場合、すべてのデバイスのシリアル番号は
一意です。印刷可能な文字列であれば何でも受け付けられます。ソフトウェアクライアントが生成する場合
パスワードには、デバイスのシリアル番号を使用するか、適切な説明的なパスワードを選択できます。
文字列がデバイスにまだ割り当てられていません。

注意
ハードウェアトークンとモバイルトークンの両方を許可する（または最終的に許可する可能性がある）管轄区域
ソフトウェア生成クライアントアプリケーションは、形式化された
トークンの命名規則。例えば、管理者は「-hw」をトークンの末尾に追加します。
ベンダーのシリアル番号を使用して ダックストークン シリアル番号。ソフトウェアの場合
トークンを作成する場合、管理者は ダックストークン シリアル番号を追加して
「-sw」はデバイスのベンダーのシリアル番号です。

-totp-デルタ NUM
ベース時間を調整する NUM 間隔（各ステップサイズは秒数）
TOTPを計算する。 NUM 負、ゼロ、正のいずれかになります。これは修正に使用されます
同期が不十分なクロックの場合。

-totp-drift nwindows
TOTPの場合、ウィンドウサイズは nwindows （間隔の大きさに関して）
検証。もし nwindows is 0計算されたTOTP値は与えられた値と一致する必要があります
まさに。もし nwindows is 1例えば、 ダックストークン 与えられたTOTPに一致しようとします
前の間隔、現在の間隔、次の間隔の値。これにより、
システム実行中 ダックストークン （または ローカルトークン認証）とトークン生成装置
同期があまりよくありません。

セキュリティ
同期が不十分なクロックを補正し、
nwindows ワンタイムパスワードの有効期間を延長することでシステムを弱体化します。

-totp-ハッシュ ALG
　 ALG TOTPのダイジェストアルゴリズムと同様に。 ALG （ケース
SHA1 (デフォルト)、SHA256、または SHA512 のいずれかになります (区別なく)。

-totp-タイムステップ ドライ
　 ドライ TOTPを計算する際の間隔サイズとして。0より大きい必要があります。
デフォルトは 30 秒です。

セキュリティ
同期が不十分なクロックを補正し、
ドライ ワンタイムパスワードの有効期間を延長することでシステムを弱体化します。

-vfs vfs_uri
　 vfs_uri をオーバーライドするには Vfs[33] 設定ディレクティブが有効になっている。これは
auth_token、auth_hotp_token、またはauth_totp_tokenを設定または再設定するために使用されます。
操作対象のアカウントの保存方法を指定します。

標準エラーに出力されるエラーメッセージを除き、すべての出力は
標準出力。

通常、 ダックスオプション どの管轄を代表するかを選択するために指定されます。
アカウントは管理されています。

例

これらの例では、使用する管轄区域名がEXAMPLEであり、その連合が
ドメインはexample.comです。

この認証方法を使用するには、 DACS 管理者は次の手順を実行する可能性がある
ユーザーに割り当てられた各OTPデバイスについて:

1. サポートされているトークンを取得し、認証にどのように使用されるかを確認し、値を選択します。
さまざまなパラメータについて。ベンダーからデバイスの秘密鍵を入手します。
プログラム可能なデバイスでは、適切なランダム キーを選択し、それをデバイスにプログラムします。
現在のカウンター値はベンダーから取得することもできますが、
ゼロに初期化される可能性が高い。プログラム可能なデバイスの場合は、カウンタ値を
PINが必要かどうかを決定します（ トークンにはPINが必要です[9]）。ソフトウェア
クライアントが使用されている場合は、ユーザーのデバイスにソフトウェアをインストールします（またはユーザーにインストールしてもらいます）。
など）、ソフトウェアを構成します。

2. アカウント情報を保存する場所を決定し、必要に応じて適切な
Vfs[33] dacs.confへのディレクティブ。デフォルト（site.confにある）では、アカウントは
各管轄区域のデフォルトのプライベートドメイン内のauth_tokensというファイルに情報が格納されている
エリア：

VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"

3. アカウント情報を暗号化するためのキーを生成する（ トークン 　 秘密 キー[34]) と
保存場所を決定します。例: (ユーザーID、グループID、パス、
管轄名およびフェデレーションドメインは異なる場合があります):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj 例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

必要に応じて適切な Vfs[33] dacs.confへのディレクティブ。デフォルトは
上記で使用したように、アカウント情報はauth_token_keysというファイルに保持されます。
各管轄区域のデフォルトのプライベートエリア:

VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"

4. ユーザーにサインオンしてもらう必要がある場合 dacs_authenticate(8)[2]を設定する必要があります
dacs.conf 内の適切な Auth 句、例:


URL「トークン」
STYLE「パス」
コントロール「十分」


5. 管理者が進める方法はいくつかあり、それは、
ユーザーが努力できるかどうか（例えば、信頼できるかどうか、技術的な
能力）、ユーザー数（少数または数千人）、セキュリティレベル
必要。

1. ファイルを準備する XML 記録[35] 作成されるアカウントごとに、
PIN を使用する場合は、各アカウントにランダムな PIN を割り当てます。

2. 使用する -輸入[36] アカウントを作成するためのフラグ。

3. トークンデバイス、ユーザー名、および（必要な場合）初期PINをユーザーに提供します。
（おそらく身元確認）、必要な証明の提供、
説明書;

4. ユーザーにアカウントのPINを設定またはリセットしてもらい、サインオンを依頼します。
トークンを使用して正しい操作を確認します。

HOTP デバイスのユーザー bobo の無効なアカウントを作成するには:

% dacstoken -uj 例 -mode hotp -serial 37000752 -key-file bobo.key -create bobo

アカウントの秘密鍵（既に存在してはならない）はファイルから読み取られます。
bobo.key。新しいアカウントはデフォルトで無効になっています。 -有効 有効なアカウントを作成します。

アカウントを作成したら、トークンと同期できます。同期するには
ユーザーboboのHOTPトークン:

% dacstoken -uj 例 -sync 433268,894121,615120 bobo

この例では、特定のトークンは433268つの連続したパスワードXNUMXを生成しました。
894121、615120です。 - 同期 フラグは
単一の引数で、スペースは含まれません。このトークンのキーが
19c0a3519a89b4a8034c5b9306db、このトークンによって生成される次のパスワードは544323になります。
（カウンター値付き 13）。これは次のように検証できる。 -ホットページショー:

% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e：002442

ユーザー bobo のアカウントを有効にするには:

% dacstoken -uj 例 -enable -set bobo

PIN を設定し、ユーザー bobo のアカウントを有効にするには、次の手順を実行します。

% dacstoken -uj 例 -enable -pin "CzAy" -set bobo

すべてのアカウントを詳細に一覧表示するには:

% dacstoken -uj 例 -long

当学校区の -リスト フラグはデフォルトの操作なので冗長です。 -モード, -カウンタ, etc.
リスト表示の場合には修飾子は効果がありません。

bobo のアカウントのみを一覧表示するには:

% dacstoken -uj 例 -list bobo

このユーザーにアカウントがない場合、終了ステータスはゼロ以外になります。

シリアル番号 37000752 のデバイスのアカウントを表示するには:

% dacstoken -uj 例 -serial 37000752

トークンを一意に識別するシリアル番号は、トークンに印刷されていることが多い。
またはトークンによって表示することもできます。

bobo の既存のアカウントのカウンター値を設定するには:

% dacstoken -uj 例 -counter 9 -set bobo

この操作はテストやソフトウェアトークンで使用される場合があります。 - 同期 操作は
ハードウェア トークンの方が適しています。

ユーザー名boboのPINを変更するには:

% dacstoken -uj 例 -pin-prompt -set bobo

プログラムは新しい PIN の入力を要求します。

代替アカウント ファイル /secure/auth_tokens を使用するには:

% dacstoken -uj 例 -vfs "dacs-kwv-fs:/secure/auth_tokens" -list

新しいキーを使用するには（前述と同じ前提で）、適切なVFSディレクティブを
dacs.conf; デフォルトでは、項目タイプ auth_token_keys_prev は次のように定義されます。

VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj 例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj 例 -inkeys auth_token_keys.prev -set

診断

プログラムは 0 で終了し、エラーが発生した場合は 1 で終了します。

onworks.net サービスを使用して dacstoken をオンラインで使用する