Ini ialah arahan dacsauth yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
dacsauth - semakan pengesahan
SINOPSIS
dacsauth [-m spesifikasi-modul-auth] [...] [-r roles-modul-spec] [...] [-Darahan=nilai]
[-aux]
[-fj jurname] [-fn nama fed] [-h | -membantu] [-ID] [-ll log_level]
[-p kata laluan]
[-pf fail] [-segera] [-q] [{-u | -pengguna} nama pengguna] [-v]
modul-dacsauth
DESCRIPTION
Program ini adalah sebahagian daripada DACS suite.
. dacsauth ujian utiliti sama ada bahan pengesahan yang diberikan memenuhi pengesahan
keperluan dan menunjukkan hasil melalui status keluar proses. Ia serupa dengan
dacs_authenticate(8)[1] dan dacscred(1)[2].
dacsauth menyediakan cara untuk skrip dan program lain untuk memanfaatkan DACS pengesahan
infrastruktur. Mereka mungkin menggunakan pengesahan yang berjaya sebagai bentuk kasar
kebenaran; hanya pengguna yang memberikan kata laluan yang betul mungkin dibenarkan untuk menjalankan
program, misalnya. Atau mereka mungkin mengembalikan beberapa jenis bukti kelayakan selepas berjaya
pengesahan, atau mungkin penggunaan dacs_auth_agent(8)[3] untuk kembali DACS tauliah.
dacsauth juga boleh digunakan untuk mendapatkan semula maklumat peranan yang dikaitkan dengan pengguna tertentu.
dacsauth tidak membaca apa-apa DACS fail konfigurasi. Semua yang diperlukan untuk melaksanakan ujian
mesti dinyatakan sebagai hujah.
Petua
If dacsauth menggunakan modul terbina dalam untuk melaksanakan pengesahan, atau mencari peranan, tidak
server komponen is dikehendaki. Ini bermakna anda boleh menggunakan dacsauth tanpa perlu
mengakses atau mengkonfigurasi pelayan web, termasuk Apache.
PILIHAN
Bendera baris arahan berikut diiktiraf. Sekurang-kurangnya satu -m bendera (untuk melakukan
ujian pengesahan), atau sekurang-kurangnya satu -r bendera mesti dinyatakan (untuk membentuk peranan
rentetan deskriptor untuk identiti dan cetaknya ke stdout). Gabungan kedua-dua bendera adalah
dibenarkan, dalam hal ini rentetan deskriptor peranan dikeluarkan hanya jika ujian pengesahan
berjaya.
-Darahan=nilai
Ini bersamaan dengan tetapan arahan, seorang jeneral DACS arahan konfigurasi, kepada
nilai. Lihat dacs.conf(5)[4].
-aux
Rentetan seterusnya disediakan oleh -p, -pf, Atau -segera bendera akan menjadi nilai
SEGERA hujah pengesahan. Ini menyediakan cara selamat untuk lulus sensitif
maklumat tambahan, seperti PIN, kepada program. Bendera untuk mendapatkan kata laluan,
jika ada, mesti mendahului bendera ini pada baris arahan.
-fj jurname
Penggunaan jurname, yang mesti sah dari segi sintaksis, sebagai nama bidang kuasa. Jika diperlukan
tetapi tidak disediakan, nilai yang diperoleh daripada nama domain hos akan digunakan.
-fn nama fed
Penggunaan nama fed, yang mesti sah dari segi sintaksis, sebagai nama persekutuan. Jika diperlukan
tetapi tidak disediakan, nilai yang diperoleh daripada nama domain hos akan digunakan.
-h
-membantu
Paparkan mesej bantuan dan keluar.
-ID
Jika berjaya, cetak yang telah disahkan DACS identiti kepada keluaran piawai.
-ll log_level
Tetapkan tahap output penyahpepijatan kepada log_level (Lihat dacs(1)[5]). Tahap lalai ialah
memberi amaran.
-m spesifikasi-modul-auth
Setiap jenis ujian pengesahan yang diperlukan diterangkan oleh spesifikasi-modul-auth
yang serta-merta mengikuti -m bendera. setiap satu spesifikasi-modul-auth pada dasarnya adalah
perwakilan alternatif bagi an Auth klausa[6] dan arahannya, yang digunakan oleh
dacs_authenticate(8)[1]. Sama seperti susunan klausa Auth muncul dalam a DACS
fail konfigurasi, susunan yang -m bendera kelihatan mungkin penting,
bergantung kepada kawalan kata kunci. Semasa pemprosesan, berturut-turut -m komponen ialah
nama yang diberikan secara automatik, auth_module_1, auth_module_2 dan seterusnya, terutamanya untuk
tujuan pelaporan ralat.
An spesifikasi-modul-auth mempunyai sintaks berikut:
. modul bermula dengan sama ada nama modul terbina dalam, atau singkatan yang sah
daripadanya, atau URL (mutlak) modul pengesahan luaran (bersamaan dengan
yang URL[7] arahan). Seterusnya mesti muncul kata kunci gaya pengesahan yang diiktiraf
specifier (bersamaan dengan STYLE[8] arahan). Seterusnya, yang kawalan kata kunci berikut,
yang sama dengan KAWALANArahan [9] dalam klausa Auth. Selepas kawalan
kata kunci, bendera yang diterangkan di bawah mungkin mengikut, dalam sebarang susunan.
An spesifikasi-modul-auth tamat apabila bendera pertama tidak sah (atau penghujung bendera).
berjumpa.
. -O bendera bersamaan dengan a OPTION[10] arahan.
. -Daripada flag diikuti dengan hujah yang merupakan nama fail untuk dibaca
pilihan, satu setiap baris, dalam format nama=nilai. Garis dan baris kosong bermula dengan
'#' diabaikan; ambil perhatian bahawa baris ini tidak bermula dengan "-O" dan petikan adalah ringkas
ditiru dan tidak ditafsirkan. The -Daripada bendera boleh digunakan untuk mengelak daripada meletakkan kata laluan
baris arahan dan menjadikannya lebih mudah untuk menulis ungkapan yang mungkin ada
untuk dilepaskan dengan berhati-hati untuk mengelakkan tafsiran oleh cangkang, sebagai contoh.
. -pred bendera adalah bersamaan dengan luput[11] arahan. The -vfs bendera sudah biasa
mengkonfigurasi VFS[12] arahan yang diperlukan oleh modul ini.
-modul
Paparkan senarai modul pengesahan terbina dalam dan modul peranan, satu setiap baris dan
kemudian keluar. Nama modul kanonik dicetak, diikuti dengan sifar atau lebih setara
singkatan. Untuk modul pengesahan, gaya pengesahan ditunjukkan. Untuk menyenaraikan
modul yang tersedia, jalankan arahan:
% dacsauth -modul
Set modul pengesahan terbina dalam dan peranan yang tersedia (didayakan) ditentukan
apabila DACS dibina.
-p kata laluan
Tentukan kata laluan untuk digunakan (bersamaan dengan KATA LALUAN hujah untuk
dacs_authenticate).
Keselamatan
Kata laluan yang diberikan pada baris arahan mungkin boleh dilihat oleh pengguna lain pada baris yang sama
sistem.
-pf fail
Baca kata laluan untuk digunakan daripada fail (bersamaan dengan KATA LALUAN hujah untuk
dacs_authenticate). Jika fail ialah "-", maka kata laluan dibaca daripada input standard
tanpa menggesa.
-segera
Minta kata laluan dan baca dari stdin (bersamaan dengan KATA LALUAN hujah untuk
dacs_authenticate). Kata laluan tidak digemakan.
-q
Menjadi lebih senyap dengan mengurangkan tahap output penyahpepijatan.
-r modul-peranan-spesifikasi
Peranan untuk nama pengguna boleh ditentukan dengan memberikan bendera ini, iaitu serta-merta
diikuti oleh a roles-modul-spec. Yang -r bendera boleh diulang, dan peranan yang terhasil
digabungkan. setiap satu roles-modul-spec pada asasnya ialah perwakilan alternatif a
Klausa peranan yang digunakan oleh dacs_authenticate(8)[13]. Berturut-turut -r komponen ialah
nama yang diberikan, modul_peranan_1, modul_peranan_2, dan seterusnya, terutamanya untuk pelaporan ralat
tujuan.
A roles-modul-spec mempunyai sintaks berikut:
. modul komponen adalah bersamaan dengan klausa Peranan URL[14] arahan dan ialah
sama ada nama modul peranan terbina dalam yang tersedia, singkatan yang sah daripadanya,
atau URL (mutlak) modul peranan luaran.
Bendera mungkin mengikuti modul komponen, dalam sebarang susunan. A roles-modul-spec berakhir apabila
bendera tidak sah pertama (atau penghujung bendera) ditemui.
. -O bendera bersamaan dengan a OPTION[10] arahan.
. -Daripada flag diikuti dengan hujah yang merupakan nama fail untuk dibaca
pilihan, satu setiap baris, dalam format nama=nilai. Garis dan baris kosong bermula dengan
'#' diabaikan; ambil perhatian bahawa baris ini tidak bermula dengan "-O" dan petikan adalah ringkas
ditiru dan tidak ditafsirkan. The -Daripada bendera boleh digunakan untuk mengelak daripada meletakkan kata laluan
baris arahan dan menjadikannya lebih mudah untuk menulis ungkapan yang mungkin ada
untuk dilepaskan dengan berhati-hati untuk mengelakkan tafsiran oleh cangkang, sebagai contoh.
. -pred bendera adalah bersamaan dengan luput[11] arahan. The -vfs bendera sudah biasa
mengkonfigurasi VFS[12] arahan yang diperlukan oleh modul.
-u nama pengguna
-pengguna nama pengguna
Nama pengguna untuk mengesahkan terhadap (bersamaan dengan USERNAME hujah untuk
dacs_authenticate). Nama pengguna ini secara tersirat dikaitkan dengan yang berkesan
persekutuan dan bidang kuasa (lihat -fn[15] dan -fj[16] bendera).
-v
. -v bendera menabrak tahap keluaran penyahpepijatan kepada nyahpepijat atau (jika berulang) jejak.
CONTOH
Keselamatan
If dacsauth menggunakan modul terbina dalam untuk melaksanakan pengesahan, ia mesti menjalankan setuid atau
setgid untuk mendapatkan keistimewaan yang mencukupi untuk mengakses fail kata laluan yang diperlukan (sama
adalah benar untuk modul peranan terbina dalam). Jika ia menggunakan modul luaran, modul itu akan
perlu melaksanakan dengan keistimewaan yang mencukupi untuk mengakses DACS kunci kriptografi,
khususnya federation_keys dan mungkin DACS atau fail kata laluan sistem; luaran
modul kemudiannya perlu melaksanakan dengan keistimewaan yang mencukupi untuk mengakses mana-mana failnya
memerlukan.
Pastikan anda menggunakan kunci_persekutuan yang betul untuk persekutuan anda. Rujukan
modul pengesahan dalam dua atau lebih persekutuan mungkin tidak akan berfungsi.
dacsauth Oleh itu, tidak sepatutnya dijalankan sebagai UID pengguna yang memanggilnya
(melainkan jika itu menjadi akar) kerana ia tidak akan dapat mengakses maklumat
ia memerlukan. Ini juga akan menghalang pengguna daripada "menipu" (cth, dengan melampirkan pada
menjalankan modul dengan penyahpepijat).
Contoh ini mengesahkan pengguna "bobo" dengan kata laluan "ujian" terhadap DACS fail kata laluan
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd passwd diperlukan
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u ujian bobo -p
Jika status keluar arahan adalah sifar, ujian pengesahan berjaya, jika tidak
gagal.
Contoh berikut cuba untuk mengesahkan "bobo" terhadap fail kata laluan Unixnya. The
program meminta kata laluan.
% dacsauth -m unix passwd diperlukan -u bobo -prompt
Dalam contoh seterusnya, dacsauth percubaan untuk mengesahkan "bobo" melalui NTLM dihidupkan
winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Contoh ini serupa dengan yang sebelumnya, kecuali modul pengesahan luaran
digunakan dan kata laluan dibaca daripada fail. Kerana modul luaran, tambahan
konfigurasi mesti disediakan; khususnya, lokasi federation_keys dan
nama persekutuan dan bidang kuasa mesti dinyatakan.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd mencukupi -OSAMBA_SERVER="winders.example.com" \
-fn CONTOH -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
Untuk mengesahkan terhadap Google[17] akaun [e-mel dilindungi], seseorang mungkin menggunakan:
% dacsauth -m http passwd suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=E-mel -OPASSWORD_PARAMETER=Passwd \
-Oservice=xapi -Osource=DSS-DACS-1.4 -prompt -u [e-mel dilindungi]
Dalam contoh berikut, ungkapan dinilai untuk menentukan sama ada pengesahan
sepatutnya berjaya. Pengguna ("bobo") digesa untuk kata laluan. Hanya jika rentetan "foo" adalah
diberi akan pengesahan berjaya. Contoh yang lebih realistik mungkin memanggil program lain untuk
membantu membuat penentuan, contohnya.
% dacsauth -m expr expr suffi \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -pengguna bobo -prompt
Pengesahan terhadap Apache htdigest fail kata laluan dilakukan dalam perkara berikut
contoh, di mana kata laluan dibaca dari stdin:
% gema "ujian" | dacsauth -m apache digest mencukupi \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="Kawasan Pengesahan Digest DACS" \
-u bobo -pf -
Pengesahan melalui modul PAM berfungsi secara berbeza daripada modul lain - dan lebih banyak lagi
rumit untuk digunakan - kerana dacsauth mungkin perlu dijalankan beberapa kali, bergantung pada apa
maklumat yang diperlukan oleh PAM. Daripada mengembalikan keputusan ya/tidak, dacsauth boleh mencetak
menggesa untuk mendapatkan maklumat lanjut untuk stdout. Sila semak butiran operasi yang dibentangkan dalam
dacs_authenticate(8)[18] dan pamd(8)[19] sebelum cuba menggunakan modul ini.
Contoh berikut menunjukkan penggunaan modul dari baris arahan. Sekali asas
idea difahami, ia harus jelas bagaimana untuk menulis skrip untuk melaksanakan
lelaran yang diperlukan. Butiran dalam contoh, seperti laluan, mungkin perlu dilaraskan
persekitaran anda. Ambil perhatian bahawa dalam contoh ini nama pengguna tidak dinyatakan pada kali pertama
dacsauth dijalankan, walaupun mungkin jika ia diketahui.
% dacsauth -m pam digesa sudah memadai \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj CONTOH -fn UJIAN
AUTH_PROMPT_VAR1="Log masuk:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam digesa sudah memadai \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Kata Laluan:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam digesa sudah memadai \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="kata laluan" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Kali pertama dacsauth dijalankan dalam contoh ia mengembalikan gesaan untuk nama pengguna
("Log Masuk:") yang dikaitkan dengan pembolehubah transaksi AUTH_PROMPT_VAR1 dan
pengecam transaksi (AUTH_TRANSID). Yang terakhir mesti diserahkan kepada yang berikutnya
pelaksanaan hukuman mati dacsauth. Larian kedua dacsauth melepasi nama pengguna ("bobo") dan
mengembalikan gesaan lain ("Kata Laluan:") yang dikaitkan dengan pembolehubah transaksi
AUTH_PROMPT_VAR2. Larian ketiga melepasi kata laluan ("kata laluan") tetapi tiada gesaan
dikembalikan, menunjukkan bahawa sesi telah selesai dan status keluar program mencerminkan
hasil pengesahan.
Petua
Sama ada dacsauth memerlukan kata laluan untuk mendapatkan semula peranan bergantung pada peranan tertentu
modul yang digunakan. Sebagai contoh, kata laluan tidak diperlukan oleh local_unix_roles[20] atau
local_roles[21] untuk mendapatkan peranan, tetapi local_ldap_roles[22] mungkin memerlukan a
kata laluan untuk mengikat direktori dan mendapatkan peranan.
Contoh ini mencetak rentetan peranan untuk pengguna "bobo" dengan memanggil terbina dalam
local_unix_roles[20] modul:
% dacsauth -r unix -u bobo
bobo,roda,www,pengguna
Contoh seterusnya adalah serupa dengan yang sebelumnya, kecuali modul peranan luaran digunakan:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -u bobo
bobo,roda,www,pengguna
Modul peranan luaran mungkin dilaksanakan pada hos yang berbeza daripada yang dijalankan
dacsauth. Dengan syarat dacsauth telah dipasang dan fail federation_keys yang sepadan ialah
tersedia pada hos tempatan, hos tempatan tidak perlu a DACS bidang kuasa atau mempunyai apa-apa
lain DACS konfigurasi.
Contoh berikut mencetak peranan rentetan[23] untuk pengguna "bobo", dikenali dalam
direktori dengan Nama Biasa "Bobo Baggins", menggunakan (luaran) local_ldap_roles[22]
modul dan kaedah pengikatan "langsung":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Daripada /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -fj FEDROOT -prompt
DnsAdmins,Print_Operators,Domain_Admins,Administrators
Kerana terdapat terlalu banyak bendera untuk diletakkan dengan mudah dan betul pada baris arahan, the
pilihan yang diperlukan untuk melakukan ini dibaca daripada fail yang ditentukan oleh -Daripada bendera.
Ini juga menyediakan cara yang lebih selamat untuk menghantar kata laluan kepada program; memastikan akses itu
kepada fail dihadkan dengan sewajarnya. Fail
/usr/local/dacs/ldap_roles_options_direct mungkin mengandungi konfigurasi seperti ini:
LDAP_BIND_METHOD=terus
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . ",CN=Pengguna,DC=contoh,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Contoh berikut adalah seperti yang sebelumnya, kecuali ia menggunakan pengikatan "tidak langsung".
kaedah dan oleh itu tidak perlu diberikan Nama Biasa pengguna:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Daripada /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -fj FEDROOT -p kata laluan bobos
DnsAdmins,Print_Operators,Domain_Admins,Administrators
Fail /usr/local/dacs/ldap_roles_options_indirect mungkin mengandungi konfigurasi seperti
ini:
LDAP_BIND_METHOD=tidak langsung
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Cari di bawah Pengguna...
LDAP_SEARCH_ROOT_DN=CN=Pengguna,DC=contoh,DC=com
LDAP_ADMIN_PASSWORD=theSecretAdminPassword
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Katakan seseorang ingin menggunakannya dacsauth untuk mengesahkan pengguna melalui LDAP dengan cara yang serupa dengan
konfigurasi dacs.conf ini:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
GAYA "kata laluan, tambah_peranan"
KAWALAN "diperlukan"
LDAP_BIND_METHOD "terus"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Users,dc=example,dc=local"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
Fail seperti ini (cth, /usr/local/dacs/ldap_auth_options_direct) akan mengandungi
arahan berikut:
LDAP_BIND_METHOD=terus
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Users,dc=example,dc=local"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Pengesahan kemudiannya boleh dilakukan menggunakan arahan seperti ini:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd suff \
-Daripada /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -u bobo -prompt
DIAGNOSTIK
Program keluar dari 0 jika pengesahan berjaya atau dengan 1 jika pengesahan gagal atau
ralat berlaku.
Gunakan dacsauth dalam talian menggunakan perkhidmatan onworks.net
