dacstoken - クラウドでオンライン

プログラム：

NAME

dacstoken - ハッシュベースのワンタイム パスワードを管理する

SYNOPSIS

ダクストーケン [ダックスオプション[1]][-すべて] [-ベース NUM] [-カウンター NUM] [-桁 NUM]
[-無効にする | -有効] [-ホットウィンドウ NUM] [-inkeys アイテムの種類]
[[-キー キーヴァル] | [[-キーファイル ファイル名] | [[-キープロンプト]][-モード otp モード]
[-outkeys アイテムの種類]
[[-pin ピンヴァル] | [[-ピンファイル ファイル名] | [[-ピンプロンプト]][-ピン制約 STR]
[-rnd] [-シード STR] [-シリアル STR] [-topp-デルタ NUM] [-トップドリフト nwindows]
[-トップハッシュ ALG]
[-totp-タイムステップ ドライ] [-vfs vfs_uri] [運用仕様] [ユーザ名]

DESCRIPTION

このプログラムはの一部です DACS 上。

　 ダクストーケン ユーティリティが管理します DACS ワンタイム パスワード (OTP) に関連付けられたアカウント
生成装置 (トークン) またはソフトウェアベースのクライアント。 コマンド ライン オプションを使用すると、
OTP 値を計算します。 トークン アカウント パラメータはオーバーライドできますが、アカウントは偶数ではありません
必要。

強力な XNUMX 要素認証は、次の場合に提供できます。 dacs_authenticate[2] が設定されています
使用します local_token_authenticate[3] 認証モジュールの場合 ダクストーケン として使用されます
パスワードを検証するためのスタンドアロン プログラム。 HMAC ベースのワンタイム パスワード モード
(HOTP)、イベント カウンターに基づき、 RFC 4226[4]、および時間ベース
ワンタイム パスワード モード (TOTP)、 最新の IETF インターネットドラフト[5]提案、
サポートされています。 NEW オペレーショナル モード[6] OCRA (誓い チャレンジレスポンス
アルゴリズム）、IETF Internet-Draft で説明されていますが、まだ完全にはサポートされていません。

Note
このバージョンの ダクストーケン 下位互換性のない多くの変更が組み込まれています
リリース 1.4.24a 以前。 一部のコマンド ライン フラグの機能は異なります。
アカウント ファイルの形式が変更されました。 以前にこのコマンドを使用したことがある場合
トークン アカウント ファイルのバックアップ コピーを作成し、このマニュアルを確認してください。
先に進む前にページを注意深く読みます ( -変換 特に flag[7])。

重要
ベンダー提供のソフトウェアは必要ありません。 ダクストーケン その機能を提供します。 の
現在サポートされているデバイスでは、登録や構成のやり取りは必要ありません
ベンダーと ダクストーケン ありません 対話 　 ベンダーの サーバ or つかいます どれか
所有権 ソフトウェア. 実行にはベンダー提供のソフトウェアが必要な場合があります
ただし、他のトークン デバイスの初期化または構成、および ダクストーケン ありません
それらにそのようなサポートを提供しません。

通常、各トークン デバイスは、によって管理される正確に XNUMX つのアカウントに対応します。
ダクストーケンただし、一部のベンダーは、複数のアカウントをサポートできるトークンを作成しています。

要約すると、このユーティリティ:

・作成および管理 DACS カウンターベースおよび時間ベースに関連付けられたアカウント
ワンタイムパスワード

・検証およびテスト機能を提供

· コマンドライン認証機能を提供

セキュリティ
だけ DACS 管理者は、このプログラムを
コマンドライン。 なぜなら DACS キーと構成ファイル (使用されるファイルを含む)
ストア アカウントは管理者に制限する必要があります。これは通常、
ただし、注意深い管理者は、すべてのファイルへのアクセスを拒否するようにファイル権限を設定します。
他のユーザー。

Note
　 dacs_token(8)[8] Web サービスはユーザーに限られたセルフサービスを提供します
アカウントの PIN を設定またはリセットし、トークンを同期する機能。 また
テストと評価を簡素化するためのデモンストレーション モードがあります。

PIN （アカウント パスワード)
A ダクストーケン アカウントには、必要に応じて PIN (パスワード) を関連付けることができます。 に
そのようなアカウントに対して認証する場合、ユーザーは生成されたワンタイム パスワードを提供する必要があります
ひと言で & 暗証番号。 の TOKEN_REQUIRES_PIN[9] 構成ディレクティブが決定します
アカウントの作成またはインポート時に PIN を提供する必要があるかどうか。 には当てはまりません
と組み合わせて -デルピン フラグ、管理者のみが実行できる必要があるため
その機能。

PIN 自体ではなく、アカウント レコードに PIN のハッシュが保存されます。 同じ
によって使用される方法 ダックスパスワード(1)[10]と dacs_passwd(8)[11] が適用され、
PASSWORD_DIGEST[12]と PASSWORD_SALT_PREFIX[13] 有効な指令。 もしも
PASSWORD_DIGEST[12] が構成されている場合、そのアルゴリズムが使用されます。それ以外の場合は、コンパイル時に
デフォルト (SHA1) が使用されます。 ユーザーが PIN を忘れた場合、古い PIN は復元できないため、
削除するか、新しいものを設定する必要があります。

一部のトークン デバイスには、PIN 機能が組み込まれています。 ユーザーは PIN を入力する必要があります
デバイスがワンタイム パスワードを発行する前のデバイス。 この「端末暗証番号」は
によって管理されるアカウント PIN とは完全に区別されます。 ダクストーケン、このマニュアルは
のみに関係する ダクストーケン ピン。 可能であれば、デバイス PIN を常に使用する必要があります。
　 ダクストーケン XNUMX 要素認証には PIN が必要であり、強く推奨されます
(追加の認証要素が他の方法で適用されない限り)。

このコマンドは管理者のみが実行できるため、制限はありません。
管理者が提供する PIN の長さまたは品質。 警告メッセージ
ただし、パスワードが脆弱であると判断された場合は、
PASSWORD_CONSTRAINTS[14] 指令。

単発講座 パスワード
どちらの種類のワンタイム パスワード デバイスも、安全なパスワードを使用してパスワード値を計算します。
キー付きハッシュ アルゴリズム (RFC 2104[15] FIPS 198[16])。 カウンターベースの方法では、デバイス
サーバーは、数値を生成するためにハッシュされる秘密鍵とカウンター値を共有します
特定の桁数の特定の基数で表示される値。 成功
認証では、デバイスとサーバーが一致するパスワードを計算する必要があります。 毎回、
デバイスがパスワードを生成すると、カウンターがインクリメントされます。 サーバーが一致を受信したとき
パスワード、カウンターをインクリメントします。 XNUMXつのカウンターがなる可能性があるので
同期されていない場合、サーバーの照合アルゴリズムは通常、クライアントのパスワードを許可します
カウンター値の「ウィンドウ」内に収まるようにします。 時間ベースの方法も同様で、主な
違いは、現在の Unix 時間 (によって返されたもの) 時間(3)[17]、例えば) は
計算でカウンター値として機能する「時間ステップウィンドウ」を確立するために使用されます
安全なハッシュの。 デバイスとサーバーのリアルタイム クロックが一致しない可能性があるため、
十分に同期されている場合、サーバーのマッチング アルゴリズムはクライアントの
パスワードは、これらのデバイスのいくつかの時間ステップ ウィンドウ内に収まるようにします。

セキュリティ
トークンには、永続的な秘密鍵 (OTP シードと呼ばれることもあります) が割り当てられます。
メーカーまたはキーがプログラム可能である可能性があります。 この秘密鍵は、トークンの
パスワードの生成手順が重要であり、秘密にしておくことが重要です。 トークンの場合
プログラマブルではなく、キーはベンダーから取得されます (通常、HOTP トークンの場合)
デバイスのシリアル番号と XNUMX つの連続したパスワードを提供することによって)。 記録
シリアル番号から秘密鍵への各マッピングは、安全な場所に保管する必要があります。

秘密鍵がプログラム可能な場合 (ソフトウェア クライアントの場合と同様)、
少なくとも 128 ビット長; 最低限 160 ビット がおすすめ。 ザ・
key は、16 文字 (またはそれ以上) の長さの XNUMX 進文字列で表されます。 キーは
ランダムビットの暗号品質のソースから取得する必要があります。 一部のクライアントは
適切なキーを生成できますが、使用することもできます ダックスプレ(1)[18]：

% dacsexpr -e "random(string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"

先端
トークンは、コンピューターのサインオン以外の認証目的にも使用できます。 為に
たとえば、アカウント番号、PIN、およびトークン値を提供することで、顧客はすばやく
電話で認証されるため、高価な認証の必要性が軽減または排除されます。
時間のかかるセキュリティの質問。

ワンタイム パスワード デバイスとアプリケーションには、次の操作パラメータがあります。
これらのパラメータは、生成されるパスワード シーケンスを決定します。 いくつかの運用
パラメータは（関連する標準または実装により）固定される場合がありますが、
その他は、ユーザーが部分的または完全に構成できる場合があります。 を参照してください。
詳細については、リファレンスおよび製造元のドキュメントを参照してください。

ベース
パスワードが表示される基数。

カウンタ
HOTP モードの場合のみ、現在のカウンター値。

数字
各ワンタイム パスワードの桁数。

キー
秘密鍵 (OTP シード)。

シリアルナンバー
デバイスの一意の識別子または名前。

時間ステップ サイズ
TOTP モードの場合のみ、各時間間隔の幅 (秒単位)。 同じパスワード
指定された間隔内で生成されます。 つまり、これは「ライフタイム」または有効性です。
各 TOTP パスワードのピリオド。

これらのパラメータに加えて、 ダクストーケン アカウントごと (つまり、デバイスごと) に複数の機能を使用します。
パラメータ：

受け入れウィンドウ
HOTP パスワードを検証する場合、検証後に考慮するパスワードの最大数。
予想されるパスワード。

ドリフト
TOTP モードの場合のみ、サーバーのクロックを調整する秒数
前方または後方に移動して、デバイスとの同期を改善します。 これは慣れている
クロックが十分に同期されていないトークンまたはクライアント ソフトウェアを補正します。
サーバーの。

ドリフトウィンドウ
TOTP モード専用ですが、accept-window に似ています。
検証時に前後に検索する間隔 (時間ステップ サイズごと)
特定のパスワードに対して。

同期オプトプス
HOTP モードの場合のみ、連続する必要があるワンタイム パスワードの数。
アカウントをデバイスと同期します。

ユーザ名
の名前 DACS デバイスにバインドされたアカウント。

ワンタイム パスワード デバイスに基づく認証には、次の利点があります。

· ユーザーが認証するたびに、異なるパスワードが生成されます (高
確率）; したがって、ユーザーは「パスワード」を書き留めることはできません。
常に変化しています。 ユーザーは自分のパスワードを忘れることができません。

· 一度使用されると、HOTP モードのパスワードはすぐに「消費」され、使用される可能性はほとんどありません。
再び長い間。 適切な設定パラメータ、TOTP モードのパスワード
比較的短い時間間隔で自動的に「期限切れ」になり、そうなる可能性は低い
長い間再び使用されました。

· クロック ドリフトの修正が必要ない場合、TOTP モードのアカウントは読み取り専用にすることができます。
操作;

· パスワードは簡単に推測できる数字や文字列である可能性は低いため、
ほとんどのユーザーが選択したパスワードよりも強力です。

· HOTP トークンは、相互 (「双方向」) 認証方法の基礎となることができます。 の
サーバーは、ユーザーの身元を確認するために、トークンの次のパスワードをユーザーに表示します (両方とも
カウンターを進めるパーティ）、クライアントはサーバーに次のパスワードを表示します
彼の身元を確認するため。

· キー スニファがユーザーのコンピュータにインストールされている場合、スニッフィングされたパスワードは無効になります。
ない限り、攻撃者に何か良いことをする 中間者 攻撃[19] 可能です。 与えられた N
連続したパスワード パスワードを計算することは依然として非常に困難です N + 1 無し
秘密鍵を知っている;

· ユーザーがアカウントを共有することはより困難です (ただし、ユーザーは場合によっては
これは不便だと考えてください);

・ もし ダクストーケン PIN がアカウントに割り当てられ、攻撃者がアカウントの
攻撃者が PIN を知らずに認証することは依然として困難です。

· アカウントを無効にするための迅速かつ効果的な方法は、単にアカウントを差し押さえることです。
ハードウェア トークン (例: 従業員が解雇された場合)。
このプログラムまたは 失効 リスト[20]

· 電話や PDA などのモバイル デバイスで実行されるソフトウェア クライアントの場合、
ユーザーはすでにデバイスを携帯しています。 無料のクライアントが利用可能です。
追加料金はかからない場合があります (モバイル デバイスは同じものを提供しない場合があることに注意してください)。
ハードウェアトークンの耐タンパー性、耐久性、鍵の秘密性、クロック精度など)。

ワンタイム パスワード デバイスには、次の潜在的な欠点があります。

・ハードウェアトークンの一時的な費用が発生します（購入量に応じて、
それぞれ 10 ドルから 100 ドルの支払いが予想されます)。
紛失または破損したトークン、またはトークンのバッテリーを交換します (一部のユニットには
交換不可能なバッテリーであり、数年後には使い捨てになります);

・初期設定が他の認証よりやや難しい
デバイスに慣れていないユーザーは、その方法について説明する必要があります。
使用する;

· 通常は非常に小さく (例: 5cm x 2cm x 1cm)、
キーチェーンやストラップ、または財布に入れておくと、ユーザーはトークンを持ち歩かなければならないことにひるむかもしれません
彼らと一緒に。

· ユーザーは、トークンを持っていることを忘れたり、トークンを紛失したりする可能性があります。

· モバイル デバイス (ソフトウェア クライアントを含む) は、おそらく盗難のターゲットになる可能性があります。
ハードウェアトークンよりもそうです（したがって、このデバイスのPINの重要性はさらに高くなります）。

· キーが焼き付けられてアクセスできないハードウェア トークンとは異なり、改ざん防止
ソフトウェアクライアントに設定されたキーは、そのメモリによって読み取れる可能性があります。
所有者、アカウントの共有を可能にする;

· モバイル デバイスに 40 文字以上のシード値を入力すると、イライラすることがあります。
エラーが発生しやすい。

· TOTP デバイスがパスワードを生成すると、新しいパスワードは、
次の時間ステップ ウィンドウで、ユーザーは 30 (または場合によっては 60) 秒待機する必要があります (例:
入力ミスがあった場合);

· 一部のデバイスは、暗い場所では読み取りが困難です。 老眼ユーザーとその方
視覚障害のあるユーザーは、ディスプレイを読むのが困難な場合があります。

アカウント
が管理するアカウント ダクストーケン によって使用されるアカウントとは完全に分離されています。
local_passwd_authenticate[21] またはその他 DACS 認証モジュール。

HOTP および TOTP デバイスのアカウントは、結合するか、別々に保持することができます。 仮想の場合
filestore アイテム タイプ auth_hotp_token が定義されており、関連付けられたアカウントにのみ使用されます
HOTPトークンを使用。 同様に、仮想ファイルストア アイテム タイプ auth_totp_token が
定義されているため、TOTP トークンに関連付けられたアカウントにのみ使用されます。 いずれかのアイテム タイプが
定義されていません。アカウントは次の方法でアクセスされます DACSの 項目タイプを使用した仮想ファイルストア
auth_token. アカウント データベースのファイル アクセス許可は、すべての
アクセスは管理者に限定され、 local_token_authenticate.

XNUMX つのデバイス タイプのアカウントが 組み合わせた、各ユーザー名の
個人が両方のタイプのトークンを持っている場合、認証方法は一意でなければなりません。
異なるユーザー名が割り当てられます。 たとえば、Auggie が XNUMX つの HOTP トークンと XNUMX つの HOTP トークンを持っているとします。
TOTP トークン。前者はユーザー名 auggie-hotp に対応し、後者は auggie-hotp に対応します。
auggie-topp; サインオン フォームには、Auggie を許可するデバイス モード入力が含まれる場合があります。
ユーザー名フィールドに「auggie」と入力するだけで、JavaScript が自動的に
選択したデバイス モードに基づく適切なサフィックス。 これの明らかな欠点
構成は、それがXNUMXつの異なる結果になることです DACS 同一個人の身元;
Auggie を識別するためにアクセス制御ルールが必要な場合は、これを覚えておく必要があります。
明示的に。 両方のトークンを同じにマップする必要がある場合 DACS ID、Auth 句は
認証が成功した後にサフィックスを取り除きますが、管理者はその後
それぞれが異なるデバイス タイプを使用している XNUMX つの異なる Auggie のケースに注意する必要があります。

auth_hotp_token と auth_totp_token アイテム タイプの両方 (またはそれらの XNUMX つだけ) を構成する
および auth_token) は、アカウントを別々に保持し、同じユーザー名を使用できるようにします。
両方のタイプのデバイス。 したがって、Auggie は同じアカウント レコードを持つことができます。
両方のデバイス タイプのユーザー名。 このアプローチでは、デバイス モードを指定する必要があります
正しいアイテム タイプを使用できるように操作が要求されたとき。 この意味は
ユーザーは、自分が使用しているデバイスのタイプを知っている必要があります (おそらくラベルを貼ることによって)。
に関する重要な詳細を参照してください。 DACS アイデンティティ[22]。

　 -vfs auth_token 項目タイプを構成または再構成するために使用されます。

キーの長さの最小要件を満たすキーのみ (16 バイト) で保存できます
アカウント情報 (例: -セットする or -輸入）。 他のコンテキストでは、要件は
強制されません。

秘密鍵は ダクストーケン アカウントファイルに書き込まれるとき。 の
仮想ファイルストア アイテム タイプ auth_token_keys は、暗号化キーを識別します ダクストーケン
使用する; の -inkeys & -outkeys フラグは代替を指定します (「 ダックスキー(1)[23])。 もし
暗号化キーが失われると、秘密キーは実質的に回復できなくなります。

重要
攻撃者が秘密鍵を発見した場合、所有せずに使用可能なパスワードを生成します
トークンは難しくありません。 少なくとも一部のハードウェア トークンでは、キーが焼かれています
デバイスに挿入され、変更できません。 この場合、キーが漏洩すると、デバイス
破壊する必要があります。 トークンを紛失した場合は、対応するアカウントを無効にする必要があります。
攻撃者が紛失したトークンを見つけたり、秘密鍵を発見した場合、強力な
アカウントに関連付けられた PIN により、攻撃者が取得することが困難になります
アクセス。

重要
· この認証方法は、次の OTP 製品に対してテストされています。

· オーセネックス かぎ 3600[24] ワンタイム パスワード (HOTP) ハードウェア トークン。

· Feitian テクノロジー[25] OTP C100 および OTP C200 ワンタイム パスワード ハードウェア
によって提供されるトークン ハイパーセキュ 情報 システム[26]; と

· 誓い Next[27] 両方を実装する Archie Cobbs によるソフトウェア アプリケーション。
上の HOTP および TOTP iPodの 接する、 iPhone & iPad[28]。

· フェイティアンテクノロジーズ アイオース ライト[29] iPod用HOTPソフトウェアアプリケーション
タッチ、iPhone、iPad。

自社製品のサポートに関心のある他のメーカー DACS 　
Dssに連絡することを歓迎します。

· 写真[30]: Feitian OTP C200、OATH Token アプリを搭載した iPod Touch、Authenex A-Key
3600 (左上から時計回り)

· この実装は類似の適合製品で動作するはずですが、
これらの製品は、 DACS.

· ハードウェア トークンはベンダーから直接購入できます。

· トークンを使用して認証する際の問題 DACS ではありません
トークンベンダーの責任。

インポート & エクスポート OTP アカウント
アカウントとそのトークンの説明は、ロードまたはダンプできます ( -輸入
& -書き出す フラグ)。 これにより、一括プロビジョニング、バックアップ、および移植性が簡素化されます。 の
アカウント情報は、単純なアプリケーション固有の (ほぼ) XML 形式で記述されます。

によって理解される形式 ダクストーケン ルート要素 (「otp_tokens」) で構成され、その後に
XNUMX 個以上の「otp_token」要素、XNUMX 行に XNUMX つ、それぞれ必須およびオプション
属性 (後述)。 XML 宣言は省略しなければなりません。 先頭の空白と
単一行の XML コメントと同様に、空白行は無視されます。 さらに、「#」を含む行
最初の非空白文字は無視されるためです。 ないオプションの属性
現在はデフォルト値が割り当てられています。 デフォルトのダイジェスト アルゴリズムは SHA1 です。 短い属性
名前はスペースを節約するために使用されます。 認識されていない属性、および
デバイス モードは無視されます。 XML 属性内の一重引用符または二重引用符 (または両方)
値は、対応するエンティティ参照 ("'" および """、
それぞれ)、"<" (小なり) および "&" (アンパサンド) 文字も必要です。 A ">" (大きい
than) 文字はオプションで ">" シーケンスに置き換えることができますが、他のエンティティは置き換えられません
参照が認識されます。

認識される属性は次のとおりです。

・b：
ベース
-- OTP 値の基数
[オプション:
10 （デフォルト）、
16または 32]

· c:
カウンタ
-- HOTP の現在のカウンター値 (先行する場合は XNUMX 進数)
"0x" (または "0X")、それ以外の場合は XNUMX 進数
[オプション:
デフォルトは 0]

· ニ:
OTP デバイス モード
-- "c" (HOTP の場合)
または "t" (TOTP の場合)
[必須]

· 名前:
ダイジェスト名
-- セキュア ハッシュ アルゴリズムの XNUMX つ
[オプション:
SHA1 (デフォルト)、
SHA224、SHA256、
SHA384​​512、SHAXNUMX]

· 博士:
クロックドリフト
-- TOTP のクロック調整 (秒単位)
[オプション]

· エク:
暗号化キー
-- 暗号化された秘密鍵、base-64 エンコード
[必須：
OTP アカウント レコードのみ]

· ja:
有効状態
-- 1 有効にするために、
0 障害者用
[必須]

・k:
平文キー
-- 暗号化されていない秘密鍵
[必須]

· ル:
最後の更新
-- 最後のレコード更新の Unix 時刻
[オプション: デフォルトは現在の時刻]

·nd:
n桁
-- OTP 値の桁数
[オプション:
デフォルトは 6 HOTPの場合、
8 TOTPの場合]

· p:
平文-PIN
-- アカウントの平文の PIN 値
[必須：
ph が存在しない限り、
輸入専用】

・ph:
ハッシュ PIN
-- アカウントのハッシュ化された PIN 値
[オプション:
によって生成されます ダクストーケン
エクスポートおよび OTP アカウント ファイルのみ]

· s:
シリアルナンバー
-- デバイスの一意の識別子文字列
[必須]

· ts:
時間ステップ
-- TOTP の時間ステップ値 (秒単位)
[オプション:
デフォルトは 30]

· あなた:
ユーザ名
-- 有効な DACS このアカウントに関連付けられたユーザー名
[必須]

次の例は、 -輸入 フラグ：







セキュリティ
インポートされたレコードには、OTP デバイスの暗号化されていない秘密鍵が含まれているため、
エクスポートされたファイルは暗号化されたままにしておく必要があります (たとえば、 opensslの) または少なくとも持っている
適切なファイル許可。

Note
OTP デバイス プロビジョニングの標準フォーマットが開発されています。 このフォーマットは
の将来のバージョンによって理解される ダクストーケン、または変換ユーティリティが記述されている可能性があります。
標準形式は、標準形式よりもかなり複雑になる可能性があります。 DACS 形式でダウンロードすることができます。

OPTIONS

標準に加えて ダックスオプション[1]、コマンド ライン フラグの長いリストは次のとおりです。
認識された。 とき ユーザ名 そのアカウントに関連付けられているデフォルト値は次のとおりです。
それ以外の場合は、推奨または実装固有のデフォルトが使用されます。 これらのデフォルト
通常、値はコマンド ラインでオーバーライドできます。 一部のフラグは、
特定のトークン モード (例: -カウンター, -トップショー) およびそれらの外観は、そのモードを意味します。
その -モード フラグは不要です。 他のフラグはモードに依存しません (例: -削除,
-有効）。 相互に互換性のないフラグの組み合わせを使用するとエラーになります。 フラグ
選択された操作で意味のないものは無視されますが、それらはモードを暗示しています。
XNUMX 進値は、大文字と小文字が区別されません。 カウンター値が必要だが指定されていない場合
(たとえば、アカウントを作成するとき)、ゼロの初期カウンター値が使用されます。

　 運用仕様 実行する操作を XNUMX 個以上と共に指定します 修飾子
フラグ。 もしも 運用仕様 が欠落している、 -リスト 操作が実行されます。 アン 運用仕様 の一つであります
次のとおりです。

-認証 otp値
この旗はまるで -検証[31]、以下を除く:

・ NS ユーザ名 すべてのパラメータが取得されます（キーなど）。

· アカウントに PIN がある場合は、それを提供する必要があります。

· アカウントが HOTP トークンの場合、認証時にカウンターが更新されます。
成功です。

ゼロの終了ステータスは認証の成功を示し、それ以外の値はすべて
認証に失敗したことを意味します。

-変換 ファイル名
から古い形式 (リリース 1.4.25 より前) のトークン アカウント ファイルをロードします。 ファイル名 ("-"
stdin から読み取ることを意味します)、それを新しい形式に変換し、stdout に書き込みます (
by -書き出す）。 このフラグは非推奨であり、この機能は将来削除される予定です
のリリース DACS.

-作成
のアカウントを作成する ユーザ名、まだ存在していてはなりません。 他の点では
のように動作します -セットする[32]。 新規アカウント作成時、 -シリアル が必要であり、 -キー is
暗示。 いいえ -有効 アカウントの作成時にフラグが提供され、 -無効にする 暗示されています。
ない場合 -カウンター フラグが指定されている場合、デフォルトのゼロが使用されます。 PIN フラグの XNUMX つが
存在する場合、指定された PIN がアカウントに割り当てられます。それ以外の場合、アカウントは割り当てられません。
PIN を持っている (または既存の PIN は変更されません)。

-現在
現在の移動要因 (つまり、HOTP または間隔のカウンター値) を表示します。
TOTP の値) および期待される OTP ユーザ名. HOTP の場合、カウンターが進みます。 全て
パラメータはアカウントから取得されます。

-削除
のアカウントを削除する ユーザ名. デバイスの秘密鍵とその他の操作
パラメータが失われます。

-デルピン
のアカウントに PIN がある場合は削除します。 ユーザ名、アカウントなしでアカウントを離れる
PIN

-書き出す
すべてのアカウントに関する情報を書き込むか、場合によっては XNUMX つのアカウントのみを書き込みます。 ユーザ名 に与えられる
標準出力。 ただし、モードが選択されている場合は、そのモードを持つアカウントのみが
書いた。 この情報は、 -輸入 or -インポート-置換。 出力
暗号化された形式で保存するか、少なくともそのファイル権限を持っている必要があります
適切に設定します。 例えば：

% dacstoken -uj 例 -export | openssl enc -aes-256-cbc > dacstoken-exported.enc

後で、次のようなことをするかもしれません:

% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj 例 -import -

-h
-助けて
ヘルプメッセージを表示して終了します。

-ホットショー NUM
ディスプレイ NUM 指定されたカウンター値とキーからの連続した HOTP パスワード。 の
-カウンター flag を使用して、初期カウンター値を指定できます。 キーは
を使用して指定 -キー, -キーファイルまたは -キープロンプト。 もし ユーザ名 が提供されている場合、
最初のカウンター値とキーは、ユーザーの HOTP アカウントから取得されます。
値はコマンド ラインでオーバーライドされます。 アカウントの保存されたカウンター値はありません
変更されました。 これは主にデバッグを目的としています。

-輸入 ファイル名
-インポート-置換 ファイル名
からアカウントとトークン情報を読み込みます ファイル名; もし ファイル名 "-" の場合、stdin が読み込まれます。
モードが選択されている場合、そのモードを持つアカウントのみが読み取られます。 と -輸入 それは
インポートされたアカウントが既に存在する場合はエラーとなり、処理が停止します。 -インポート-置換
既存のアカウントをインポートされたデータに置き換えます。

-l
-リスト
-長いです
If ユーザ名 提供され、対応するアカウントに関する情報を表示します。 もし
-シリアル フラグが指定されている場合、指定されたシリアルのアカウントに関する情報を表示します
番号; それ以外の場合は、すべてのアカウントを一覧表示します。 もし -モード これらの場合のいずれかでフラグが指定されます。
ただし、動作モードが指定されているアカウントのみをリストしてください。 これなら
フラグが繰り返されるか、 -長いです フラグ、詳細が表示されます: デバイスの種類、
アカウントの状態、デバイスのシリアル番号、カウンター値 (HOTP の場合)、クロック ドリフト値 (
TOTP)、アカウントに PIN (「+」または「-」記号で示される) があるかどうか、および
アカウントが最後に変更された日時。

-名前を変更 新しいユーザ名
の既存のアカウントの名前を変更する ユーザ名 ようにするには 新しいユーザ名、そして新しい
コマンドライン引数を使用したアカウント ( -セットする[32])。 これにはXNUMXつのステップが必要なので
エラーが発生した場合、新しいアカウントが
作成され、古いアカウントは引き続き存在します。

-セットする
　 -セットする フラグは、既存のアカウントを変更するために使用されます ユーザ名 XNUMXつ以上に基づく
修飾子引数 (-ベース, -カウンター, -桁, -無効にする or -有効, -キー （または -キーファイル
or -キープロンプト), -pin （または -ピンファイル or -ピンプロンプト）、または -シリアル）。 モードも
指定で変更 -モード、ただし、アカウントに関連付けられたモード固有のパラメーター
は失われます (たとえば、HOTP アカウントが無効になった場合、現在のカウンター値は削除されます
TOTP アカウントに変更) と一般パラメータ (シリアル番号など)
コマンドラインでオーバーライドしない限り保持されます。

- 同期 パスワードリスト
HOTP モードでは、これはサーバーをトークンと同期しようとします。 ユーザ名を選択します。
パスワードリスト によって生成される XNUMX つの連続するパスワードのカンマ区切りのリストです。
ユーザーのトークン (この「自動同期」機能は、
local_token_authenticate[3])。 指定されたシーケンスは、計算されたシーケンスと一致する必要があります
正確に、有効な操作パラメータが与えられます。 たとえば、先行ゼロは
有効な表示基数と OTP 桁数と同様に重要です。 もしも
同期が成功すると、ユーザーは次の認証を使用して認証できるはずです。
デバイスによって生成されたパスワード。 増加を使用する網羅的な検索アルゴリズム
カウンター値が採用され、コンパイル時の最大数に制限があります。
計算。 検索は、サーバーに現在保存されているカウンター値から開始されます。
XNUMXつは使用して提供されます -カウンター. 失敗した場合、この操作には長い時間がかかる可能性があります
終了する前に; ユーザーは管理者に連絡して支援を受ける必要があります。

TOTP モードでは、システム クロックがどれだけ厳密に同期されているかを判断しようとします。
トークンのクロックを取得し、結果を表示します。 この情報は、
同期が不十分なクロックを補正するため、または調整するためのユーザーのトークン レコード
検証パラメーター。 トークンのキーとダイジェスト アルゴリズムの名前は次のとおりです。
に属するトークン レコードに対して取得された ユーザ名、それが与えられた場合; それ以外の場合はキー
プロンプトが表示され、使用するダイジェスト アルゴリズムがコマンドから取得されます。
行またはデフォルト。 最初のパスワードのみ パスワードリスト 使用されている。 の
-totp-タイムステップ, -桁, -トップベース オプションは、この操作中に有効になります。

-テスト
いくつかのセルフテストを実行してから終了します。 ゼロ以外の終了ステータスは、エラーが発生したことを意味します。

-トップショー NUM
現在有効なパラメータを使用して一連の TOTP パスワードを表示します。
間隔サイズ (-totp-タイムステップ)、桁数(-桁)、およびベース (-ベース）。 ザ
アカウントの保存されたパラメーターは変更されません。 これは主にデバッグ用です
目的。

もし ユーザ名 が提供され (TOTP デバイスに関連付けられている必要があります)、キーと
コマンドラインで上書きされない限り、アカウントから保存された他のパラメーターが使用されます
フラグ。 のパスワードのシーケンス NUM 現在時刻の前後の間隔、
現在の時刻のパスワードとともに印刷されます。

ない場合 ユーザ名 が与えられると、プログラムはキーの入力を求め (これはエコーされます)、
パラメータのコマンド ライン フラグまたはデフォルト値。 次に、TOTP パスワードを発行します。
Return/Enter を押すたびに、現在の時刻が表示されます。 EOF を入力すると、すぐに
終了。

-検証 otp値
If otp値 は次に予想されるワンタイム パスワードであり、XNUMX の終了ステータスを
成功を示します。 その他の値は失敗を示します。 もしも ユーザ名 が与えられ、パラメータ
キーを含む検証のために、上書きされない限り、そのアカウントから取得されます
コマンドライン。 サーバーの状態は変更されません。 例えば、HOTPカウンターはそうではありません
高度。 いいえ ユーザ名 与えられた、 -モード フラグを使用する必要があり、パラメーター
そのモードに必要なキーを含めて指定する必要があります。 HOTP モードの場合、カウンター値
提供されなければなりません。 TOTP モードの場合、コマンド ライン パラメータはこの間有効です。
検証 ダクストーケン かどうかをテストします otp値 のパラメータに対して検証します
効果。

以下 修飾子 フラグは理解されます:

-すべて
-セットする そしていいえ ユーザ名に変更を適用します を アカウント。 これはに使用することができます
たとえば、すべてのアカウントを有効または無効にします。 の -inkeys & -outkeys フラグは
光栄です。 エラーが発生した場合、処理はただちに停止します。
アカウントが変更された可能性があります。

-ベース NUM
　 NUM OTP を表示するときのベース (基数) として。 の値 NUM に制限されています
10 （デフォルト）、 16または 32.

-カウンター NUM
これは、設定する 8 バイトの HOTP カウンター値であり、前に
"0x" (または "0X")、それ以外の場合は XNUMX 進数。 先行ゼロは省略される場合があります。 これはHOTPを意味します
モード。 トークン デバイスの場合、カウンター (モジュロ カウンター) をリセットすることはできません。
オーバーフロー) と仮定すると、パスワード シーケンスが繰り返されることになるためです。
キーが変更されていないこと。 ソフトウェアの実装にはこの制限がないかもしれませんが、
ただし、セキュリティへの影響に注意してください。

-桁 NUM
　 NUM OTP を表示するときの数字。 の値 NUM に制限されています 6, 7, 8 （
デフォルト)、または 9 ベース付き 10. 制限されています 6 ベース付き 32 と無視されます
ベース 16 (XNUMX 進出力)。

-無効にする
～のアカウントを無効にする ユーザ名を選択します。 local_token_authenticate モジュール、および -認証 &
-検証 フラグは、アカウントが認証されるまでユーザーの認証を許可しません。
有効になっていますが、他の操作は引き続きアカウントで実行できます。 もしも -有効
その後使用されると、アカウントは認証に使用できるようになり、
無効にしたときの状態に復元されます。 を無効にしてもエラーではありません。
すでに無効になっているアカウント。

-有効
のアカウントを有効にする ユーザ名を選択します。 local_token_authenticate モジュールは、
認証するユーザー。 すでに有効になっているアカウントを有効にしてもエラーにはなりません。

-ホットウィンドウ NUM
予想される HOTP パスワードが指定されたパスワードと一致しない場合は、一致するようにしてください。
NUM シーケンス内の予想されるパスワードの後のパスワード。 ゼロの値 NUM
この検索を無効にします。

-inkeys アイテムの種類
秘密鍵を復号化するには、によって識別されるストアを使用します。 アイテムの種類、おそらく
dacs.conf で構成されます。

-キー キーヴァル
　 キーヴァル XNUMX 進数の文字列として表される秘密鍵として。

セキュリティ
コマンド ラインでのキーの指定は安全ではありません。
他のプロセス。

-キーファイル ファイル名
から、XNUMX 進数の文字列として表される秘密鍵を読み取ります。 ファイル名。 場合 ファイル名 is
"-"、キーは stdin から読み取られます。

-キープロンプト
XNUMX 進数の文字列として表される秘密鍵のプロンプト。 入力はエコーされません。

-モード otp モード
これは、使用するトークンのタイプ (OTP デバイス モード) を (大文字と小文字を区別せずに) 指定します。
　 -セットする, -作成、および検証と同期操作。 の otp モード 多分
カウンタ モードの場合は counter または hotp、時間ベース モードの場合は time または totp のいずれかです。 これ
新しいアカウントを作成するときはフラグが必要です。

-outkeys アイテムの種類
秘密鍵を暗号化するには、によって識別されるストアを使用します。 アイテムの種類、おそらく定義
dacs.conf で。

-pin ピンヴァル
　 ピンヴァル アカウントの秘密の PIN として。

セキュリティ
コマンド ラインでの PIN の指定は安全ではありません。
他のプロセス。

-ピン制約 STR
使用する代わりに PASSWORD_CONSTRAINTS[14]、使う STR (同じ構文を持ち、
セマンティクス) PIN の要件を説明します。

Note
PIN の要件は、コマンド ライン フラグを介して取得した PIN と、それらの PIN に適用されます。
インポートによって取得されます (「p」属性を使用)。 要件はありません
ただし、「遡及的」であるため、要件を変更しても、の PIN には影響しません。
既存のアカウントまたは以前にエクスポートされたアカウントのインポート (
「ph」属性）。

-ピンファイル ファイル名
からシークレット PIN を読み取ります。 ファイル名。 場合 ファイル名 "-" の場合、PIN は stdin から読み取られます。

-ピンプロンプト
シークレット PIN の入力を求めます。 入力はエコーされません。

-rnd
将来使用するために予約されています。

-シード STR
将来使用するために予約されています。

-シリアル STR
シリアルナンバー、 STR、トークンに割り当てられた (意図的に) 一意の識別子です。
このオプションは、 -セットする, -作成, -リスト フラグ。 シリアル番号
特定の OTP デバイスを識別し、秘密にしておく必要はありません。 一意性プロパティ
アイテム タイプのストレージ ユニット内で適用されます。 つまり、すべての HOTP のシリアル番号
デバイスは一意である必要があり、すべての TOTP デバイスのシリアル番号は一意である必要があります。
XNUMX つのデバイス タイプのアカウントが組み合わされている場合、すべてのデバイスのシリアル番号が一致している必要があります。
個性的。 印刷可能な任意の文字列が受け入れられます。 ソフトウェア クライアントが生成している場合
パスワード、デバイスのシリアル番号を使用するか、適切に説明的なものを選択できます
デバイスにまだ割り当てられていない文字列。

Note
ハードウェア トークンと
ソフトウェアを生成するクライアント アプリケーションは、形式化された
そのトークンの命名スキーム。 たとえば、管理者は「-hw」を
を形成するためのベンダーのシリアル番号 ダクストーケン シリアルナンバー。 ソフトウェア用
トークン、管理者は ダクストーケン シリアルナンバー付
「-sw」をデバイスのベンダーのシリアル番号に置き換えます。

-topp-デルタ NUM
ベースタイムを調整する NUM 間隔 (各ステップ サイズの秒数) の場合
TOTP を計算します。 の NUM 負、ゼロ、正のいずれかです。 これは修正するために使用されます
クロックの同期が不十分な場合。

-トップドリフト nwindows
TOTP の場合、次のウィンドウ サイズを使用します。 nwindows (間隔サイズに関して) for
検証。 もしも nwindows is 0、計算された TOTP 値は指定された値と一致する必要があります
まさに。 もしも nwindows is 1例えば、 ダクストーケン 指定された TOTP と一致しようとします
前、現在、および次の間隔の値。 これにより、
システム稼働中 ダクストーケン （または local_token_authenticate）およびトークン生成デバイスへ
同期性が低くなります。

セキュリティ
同期が不十分なクロックを補正しますが、
nwindows ワンタイム パスワードの有効期間を延長することで、システムを弱体化させます。

-トップハッシュ ALG
　 ALG TOTP を使用したダイジェスト アルゴリズムとして。 の値 ALG (ケースに制限されます
SHA1 (デフォルト)、SHA256、または SHA512。

-totp-タイムステップ ドライ
　 ドライ TOTP を計算するときの間隔サイズとして。 ゼロより大きい必要があります。 の
デフォルトは 30 秒です。

セキュリティ
同期が不十分なクロックを補正しますが、
ドライ ワンタイム パスワードの有効期間を延長することで、システムを弱体化させます。

-vfs vfs_uri
　 vfs_uri をオーバーライドするには Vfs[33] 設定ディレクティブが有効です。 これはすることができます
auth_token、auth_hotp_token、または auth_totp_token を構成または再構成するために使用されます。
操作対象のアカウントの保存方法を指定します。

標準エラーに出力されるエラーメッセージを除いて、すべての出力は
標準出力。

通常、 ダックスオプション どの管轄を代表するかを選択するために指定されます。
アカウント管理中です。

例

これらの例では、使用する管轄区域の名前が EXAMPLE とそのフェデレーションであることを前提としています。
ドメインは example.com です。

この認証方法を使用するには、 DACS 管理者は次の手順を実行する場合があります
ユーザーに割り当てられた各 OTP デバイスに対して:

1. サポートされているトークンを取得し、それが認証にどのように使用されるかを確認し、値を選択します
さまざまなパラメーター用。 デバイスの秘密鍵をベンダーから取得します。 為に
プログラマブル デバイスの場合、適切なランダム キーを選択し、デバイスにプログラムします。
現在のカウンター値は、ベンダーから入手することもできますが、
ゼロに初期化される可能性があります。 プログラマブル デバイスの場合、カウンター値を
ゼロ。 PIN が必要かどうかを決定します ( TOKEN_REQUIRES_PIN[9])。 ソフトウェアなら
クライアントが使用されている場合、ユーザーのデバイスにソフトウェアをインストールします (またはユーザーにインストールしてもらいます)。
そう)、ソフトウェアを構成します。

2. アカウント情報を保存する場所を決定し、必要に応じて適切な
Vfs[33] dacs.conf へのディレクティブ。 デフォルト (site.conf にある) は、アカウントを維持します。
各管轄区域のデフォルトのプライベート内の auth_tokens という名前のファイル内の情報
エリア：

VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"

3. アカウント情報を暗号化するためのキーを生成します ( トークン & 秘密 キー[34]) と
保管場所を決定します。 例: (ユーザー ID、グループ ID、パス、
管轄名、フェデレーション ドメインは異なる場合があります):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj 例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

必要に応じて、適切な Vfs[33] dacs.conf へのディレクティブ。 デフォルト、つまり
上記で使用され、アカウント情報を auth_token_keys という名前のファイルに保持します
各管轄区域のデフォルトのプライベート エリア:

VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"

4. ユーザーがサインオンする必要がある場合 dacs_authenticate(8)[2]、構成する必要があります
dacs.conf の適切な Auth 句。例:


URL「トークン」
STYLE「パス」
コントロール「十分」


5. 管理者が進める方法はいくつかあります。
努力はユーザーが行うことができます (たとえば、ユーザーが信頼できるかどうか、ユーザーの技術的
能力)、ユーザー数 (数人または数千人)、およびセキュリティのレベル
必要。

1. を含むファイルを準備します。 XML 記録[35] 各アカウントを作成するため。 もしも
PIN が使用されます。各アカウントにランダムな PIN を割り当てます。

2.を使用します -輸入[36] アカウントを作成するためのフラグ。

3. トークン デバイス、ユーザー名、および (必要に応じて) 初期 PIN をユーザーに提供します。
（おそらく身元の確認）、必要なデモンストレーションを提供し、
手順;

4. ユーザーにアカウントの PIN を設定またはリセットしてもらい、ユーザーにサインオンを依頼します。
トークンを使用して正しい操作を確認します。

HOTP デバイスのユーザー bobo の無効なアカウントを作成するには:

% dacstoken -uj 例 -mode hotp -serial 37000752 -key-file bobo.key -create bobo

アカウントの秘密鍵 (まだ存在してはいけません) がファイルから読み取られます。
bobo.key. 新しいアカウントはデフォルトで無効になっています。 使用する -有効 有効なアカウントを作成します。

アカウントが作成されると、トークンと同期できます。 同期するには
ユーザー bobo の HOTP トークン:

% dacstoken -uj 例 -sync 433268,894121,615120 bobo

この例では、特定のトークンが 433268 つの連続したパスワード XNUMX を生成しました。
894121、および 615120 に続くパスワード シーケンス文字列に注意してください。 - 同期 フラグは
スペースを埋め込めない単一の引数。 このトークンのキーが
19c0a3519a89b4a8034c5b9306db、このトークンによって生成される次のパスワードは 544323 である必要があります
(カウンター値あり 13）。 これは、次を使用して確認できます。 -ホットショー:

% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e：002442

ユーザー bobo のアカウントを有効にするには:

% dacstoken -uj 例 -enable -set bobo

PIN を設定し、ユーザー bobo のアカウントを有効にするには:

% dacstoken -uj 例 -enable -pin "CzAy" -set bobo

すべてのアカウントを詳細に一覧表示するには:

% dacstoken -uj 例 -long

　 -リスト flag はデフォルトの操作であるため冗長です。 の -モード, -カウンター, etc.
修飾子は、リスト時には効果がありません。

bobo のアカウントのみを一覧表示するには:

% dacstoken -uj 例 -list bobo

このユーザーがアカウントを持っていない場合、終了ステータスはゼロ以外になります。

シリアル番号 37000752 のデバイスのアカウントを表示するには:

% dacstoken -uj 例 -serial 37000752

トークンを一意に識別するシリアル番号は、多くの場合、トークンに印刷されています。
またはトークンで表示できます。

bobo の既存のアカウントのカウンター値を設定するには:

% dacstoken -uj 例 -counter 9 -set bobo

この操作は、テストまたはソフトウェア トークンで使用される場合があります。 の - 同期 操作は
ハードウェア トークンに適しています。

ユーザー名 bobo の PIN を変更するには:

% dacstoken -uj 例 -pin-prompt -set bobo

プログラムは、新しい PIN の入力を求めます。

代替アカウント ファイル /secure/auth_tokens を使用するには:

% dacstoken -uj 例 -vfs "dacs-kwv-fs:/secure/auth_tokens" -list

新しいキーを使用するには (以前と同じ仮定を行います)、適切な VFS ディレクティブを
dacs.conf; デフォルトでは、項目タイプ auth_token_keys_prev を次のように定義します。

VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj 例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj 例 -inkeys auth_token_keys.prev -set

診断

プログラムは 0 で終了し、エラーが発生した場合は 1 で終了します。

onworks.net サービスを使用してオンラインで dacstoken を使用する