dacs - Online in de cloud

PROGRAMMA:

NAAM

dacs - een gedistribueerd toegangscontrolesysteem

KORTE INHOUD

dacs [-v | --uitgebreid] [--dumpenv] [--vergunning] [--versie]

dacs dacs-opdracht [dac-opties[1]] [...]

dacs-opdracht [-u uri-voorvoegsel | -uj rechtsgebiednaam | Een | -op rechtsgebiednaam | -ons]
[-c dacs.conf]
[-sc site.conf] [-NS logging-niveau] [-formaat fmt] [-q] [-t] [-Dnaam=waarde]
[-v | --uitgebreid] [--dumpenv] [--enable-dump] [--vergunning] [--soa] [--versie]

PRODUCTBESCHRIJVING

Dit programma maakt deel uit van het DACS op.

DACS is een algemeen, webgebaseerd authenticatie- en toegangscontrolesysteem. Het zorgt voor
functionaliteit voor eenmalige aanmelding en flexibele toegangscontrole tot de geleverde inhoud en diensten
door webservers. DACS bestaat uit een apache moduul (mod_auth_dacs[2]) waardoor apache
communiceert met DACS om beslissingen over toegangscontrole te nemen, een reeks CGI-programma's die dat doen
zorgen voor DACS webservices en een verzameling hulpprogramma's die verschillende functies bieden
ondersteunende en administratieve functies voor DACS. Sommige van deze hulpprogramma's, zoals
dacshttp(1)[3] en SSL-client(1)[4], zijn volledig voor algemeen gebruik.

De DACS toegangscontrole-engine en authenticatiecomponenten kunnen ook worden gebruikt vanuit de
commandoregel, binnen een CGI-omgeving of volledig onafhankelijk van het web.

Voor belangrijke informatie over DACS, inclusief installatie-instructies, zie
dacs.leesmij(7)[5] en dacs.install(7)[6].

Over DACS
NEE GARANTIEBELEID
Deze software wordt door Dss geleverd "as is" en alle expliciete of impliciete garanties,
inclusief, maar niet beperkt tot, de impliciete garanties van verkoopbaarheid, geschiktheid voor
een bepaald doel, of niet-inbreuk, worden afgewezen. In geen geval zal Dss dat zijn
aansprakelijk voor enige directe, indirecte, incidentele, bijzondere, voorbeeldige of gevolgschade
schade (inclusief, maar niet beperkt tot, aanschaf van vervangende goederen of diensten;
verlies van gebruik, gegevens of winst; of bedrijfsonderbreking) ongeacht de oorzaak en op welke wijze dan ook
aansprakelijkheidstheorie, hetzij contractueel, risicoaansprakelijkheid of onrechtmatige daad (inclusief
nalatigheid of anderszins) die op enigerlei wijze voortvloeit uit het gebruik van deze software, zelfs als
op de hoogte gebracht van de mogelijkheid van dergelijke schade.

Volgens afspraak de namen van iedereen DACS webservices beginnen met het voorvoegsel "dacs_" (bijv.
dacs_conf). Vanaf release 1.4.17 zijn alle opdrachten die worden geïmplementeerd DACS functionaliteit
beginnen met het voorvoegsel "dacs" (bijv. dacsconf). Veel DACS webservices hebben de opdracht
analogen. De namen van webservices die intern worden gebruikt door DACS (dat wil zeggen, ze zijn)
nooit rechtstreeks door gebruikers aangeroepen) beginnen met "local_" (bijv. local_passwd_authenticate).
Webservices en opdrachten voor algemene doeleinden volgen geen andere naamgevingsconventie dan
zonder gebruik te maken van een van de eerder genoemde voorvoegsels.

Er wordt gebruik gemaakt van de documenttypedefinities (DTD's) die worden bijgehouden in de map dtd-xsd
om bestandsformaten te documenteren of de argumenten te beschrijven voor a DACS webservice of het antwoord ervan. In
In de huidige implementatie worden deze DTD-bestanden niet gebruikt tijdens XML-validatie. Kenmerken
van het type CDATA kunnen aanvullende beperkingen hebben op hun waarden; raadpleeg de desbetreffende
documentatie. De bestanden zijn technisch gezien geen geldige DTD's, omdat ze geen documenttype hebben
declaratie (DOCTYPE); een geschikt DOCTYPE wordt programmatisch gegenereerd op het moment dat a
DTD wordt uitgezonden.

belangrijk
DACS voorkomt bepaalde soorten aanvallen op websites niet, zoals Ontkenning of
service aanvallen[7], Cross-site scripting (XSS)[8] of Cross-site te vragen vervalsing
(CSRF)[9]. Wanneer dit echter gecombineerd wordt met de juiste websitebeschermingsmaatregelen, DACS
biedt wel mechanismen om dit soort aanvallen moeilijker te maken.

Over de Handmatig Pages
De technische documentatie voor DACS bestaat uit een reeks manpagina's. In de HTML
collectie, een index pagina[10] bevat een inhoudsopgave en links naar speciale annotaties
binnen de technische documentatie, en lijsten met variabelen, configuratierichtlijnen en
Definities van XML-documenttypes.

Tip
Elke HTML-handleidingspagina bevat onderaan een hulpmiddel voor het selecteren van de lettergrootte. Als
JavaScript is ingeschakeld, de momenteel geselecteerde lettergrootte kan worden gewijzigd en een globaal
voorkeur ingesteld. Om een ​​lettergrootte voor de huidige pagina te kiezen, klikt u op een van de vier
dozen. Om de huidige selectie uw voorkeur te geven voor handmatige pagina's, sitebezoeken,
en browsersessies, klikt u op de knop "set", waardoor een HTTP-cookie wordt geplaatst. Als een
voorkeur is niet op deze manier ingesteld (er is dus geen cookie) en een handmatige pagina
wordt bezocht met de queryparameter DACSMANFONT ingesteld op 0, 1, 2 of 3 (wat neerkomt op
kleinste tot grootste puntgrootte), wordt het bijbehorende lettertype geselecteerd en wordt de
voorkeur automatisch ingesteld (als er een voorkeur is ingesteld, wordt de parameter genegeerd).

In de gedeelten van de documentatie met het label 'Beveiliging' worden belangrijke beveiligingsoverwegingen besproken;
besteed er alstublieft speciale aandacht aan. Gebieden met het label "Tip" geven aanwijzingen voor tijdbesparing
(en soms verergeringsverminderende) technieken en aanbevolen praktijken.

In padnamen en URL's die in voorbeelden voorkomen, vertegenwoordigt de tekst "..." tekst die
is weggelaten omdat deze niet relevant is voor de onderhavige discussie, of omdat deze kan variëren
afhankelijk van configuratiedetails, zoals waar iets is geïnstalleerd (bijv.
.../dacs/bin/dacshttp).

Tenzij anders aangegeven zijn de URL's die in de voorbeelden worden gebruikt fictief en hoogstwaarschijnlijk niet
werk. Vaak wordt de gereserveerde domeinnaam example.com gebruikt (RFC 2606[11]).

In instructies en voorbeelden wordt doorgaans een '%' gebruikt om een ​​opdrachtregelprompt aan te duiden:

% datum
Zo 1 april 15:33:11 PDT 2007

Soms wordt echter een ander teken gebruikt om een ​​prompt aan te duiden, bijvoorbeeld wanneer
demonstreert de interactieve modus van dacsexpr(1)[12]:

> 1 + 1
2

Een uitgebreide vorm van BNF schrijfwijze[13] wordt gebruikt om de syntaxis beknopt te beschrijven. Wij hopen van wel
zowel begrijpelijk als vertrouwd, maar er kunnen zich inconsistenties en dubbelzinnigheden voordoen
in de hele documentatie; dit wordt langzaam verbeterd. Een term in een productie mag
een specificatie van het reguliere expressietype bevatten, waarbij '+' een of meer exemplaren betekent
van de term, en '*' nul of meer exemplaren. Elk teken uit een reeks tekens wordt gespecificeerd
tussen vierkante haken en een reeks opeenvolgende tekens (in ASCII-codevolgorde) is
gescheiden door een koppelteken (bijv. [A-Za-z0-9\-_]+ betekent "een of meer alfabetische tekens,
cijfers, koppeltekens of onderstrepingstekens"). In andere contexten geven vierkante haken een optioneel aan
termijn. Enkele en dubbele aanhalingstekens specificeren letterlijke tekens. Merk op dat XML-DTD's hun
eigen syntaxis, die enigszins anders is, en in sommige gevallen volgden grammatica's relevant
RFC's worden gerespecteerd vanwege de duidelijkheid of in voorbeelden.

sleutel Concepts
Enkele van de belangrijkste concepten die in de hele DACS documentatie worden hierin gedefinieerd
pagina.

account
Een persistent record dat een identiteit (of gebruikersnaam) koppelt aan staatsinformatie
over het account (zoals of het account is ingeschakeld of uitgeschakeld), informatie
die nodig is om de identiteit te verifiëren (zoals een samenvatting van een wachtwoordreeks),
en mogelijk andere aanmeldingsgerelateerde informatie. Let daar op DACS identiteiten niet
noodzakelijkerwijs een overeenkomstig account hebben. DACS biedt daar geen mechanismen voor
"buitenlandse" accounttypen beheren; bijvoorbeeld, hoewel het zich kan authenticeren
Als u ze gebruikt, kan het geen Unix- of Windows-accounts maken of weergeven.

authenticatie
De procedure waarmee een persoon of programma inloggegevens verkrijgt die een DACS
identiteit, meestal door het beweren van een DACS gebruikersnaam die een identiteit vertegenwoordigt en
het verstrekken van informatie die alleen die identiteit waarschijnlijk kent of bezit. Na
succesvolle authenticatie, er wordt gezegd dat een persoon of programma zich heeft geauthenticeerd. DACS
kan communiceren met een grote verscheidenheid aan authenticatiemethoden en biedt een aantal daarvan
eigen; nieuwe methoden kunnen eenvoudig worden toegevoegd.

machtiging
De procedure die, in een bepaalde context, bepaalt of een verzoek om een ​​gegeven gaat
bron of object moet worden toegestaan. Als een identiteit bevoegd is om een
Bij een bepaalde bewerking op het object wordt toegang verleend, anders wordt deze geweigerd. Toegang
Controleregels zijn één methode om te beschrijven welke identiteit of identiteiten zouden moeten zijn
toegang verleend (of geweigerd) tot een bepaalde bron. Grofkorrelige toegangscontrole
Het gaat om het nemen van een beslissing op hoog niveau over de vraag of er toegang tot een object moet zijn
toegekend; Dit is meestal een alles-of-niets-beslissing. Fijnmazige toegangscontrole wel
gebruikt binnen een programma om te beslissen of toegang tot een bron op een lager niveau (sommige gegevens,
een administratieve functie, een menu) moet worden toegekend.

Houd er rekening mee dat, in tegenstelling tot sommige systemen, DACS bepaalt niet vooraf welke bronnen een bepaalde bron zijn
gebruiker (identiteit) heeft wel en geen toegang; dat wil zeggen dat een beheerder geen lijst maakt
welke rechten elke gebruiker heeft. Autorisatie wordt altijd bepaald door regelevaluatie,
in realtime, wanneer een gebruiker een bron opvraagt. De enige uitzonderingen hierop zijn enkele
optionele kenmerken: autorisatie Caching[14] en Rlinks[15].

geloofsbrieven
If authenticatie is succesvol, DACS geeft informatie terug die kan worden gebruikt in
daaropvolgende bewerkingen om de geverifieerde identiteit weer te geven. Referenties bevatten
informatie over de identiteit, zoals de naam, en meta-informatie, zoals de
tijdstip waarop de inloggegevens verlopen en ongeldig worden. Inloggegevens zijn beschermd
cryptografisch zodat ze moeilijk te vervalsen of te wijzigen zijn. Ze moeten bewaard worden
geheim, zodat de identiteit door niemand anders dan de eigenaar kan worden gebruikt, en dat moet ook
begeleiden een verzoek aan een server, zodat DACS weet wie het verzoek doet. De
Het specifieke mechanisme dat hiervoor wordt gebruikt, is niet belangrijk, op voorwaarde dat de inloggegevens dat niet zijn
gekopieerd en hergebruikt; het transporteren van inloggegevens met behulp van de payload van een HTTP-cookie
een SSL-verbinding is gebruikelijk, hoewel het verzenden van inloggegevens de waarde van een HTTP is
uitbreidingskop is een andere mogelijkheid.

Hoewel er geen specifieke limiet geldt voor de grootte van de inloggegevens DACS is
betrokken, omdat ze kunnen worden ingekapseld in een HTTP-cookie en kunnen worden teruggestuurd naar een
browser, moeten de beperkingen op cookies die door browsers worden opgelegd zorgvuldig worden overwogen.

Elk rechtsgebied kan de inloggegevens begrijpen die zijn geproduceerd door elk ander rechtsgebied daarbinnen
dezelfde federatie. Daarom hoeft een gebruiker slechts één keer te worden geverifieerd om toegang te krijgen
webservices in elk rechtsgebied die die identiteit gebruiken.

Merk op dat in DACS, geven de inloggegevens de eigenaar geen enkel recht en dragen deze ook niet over
autorisatie; DACS geen op capaciteiten gebaseerd system[16]. Referenties vertegenwoordigen eenvoudigweg
a DACS identiteit.

Verwijzen naar dacs_authenticeren(8)[17] voor details.

actueel te vragen
De gebeurtenis die de autorisatiecontrole heeft geactiveerd die wordt verwerkt
dacs_acs(8)[18] wordt het onderhavige verzoek genoemd. Voor een aanvraag voor een
DACS-wrapped webresource, dit is het HTTP-verzoek dat door internet wordt ontvangen
server voor de bron. In situaties waarin dacs_acs is er niet bij betrokken, zoals wanneer
daccheck(1)[19] of dacsexpr(1)[12] worden gebruikt, zijn het huidige verzoek en de context ervan dat ook
gespecificeerd door opdrachtregelargumenten of worden verkregen uit de uitvoering
milieu[20].

dacs_acs toepassingen ${DACS::URI} als de padcomponent van het huidige verzoek. Het is
verkregen bij Apache Links element van de huidige request_rec. Dit is de string die
wordt gebruikt om te matchen met toegangscontroleregels.

Overige DACS componenten bepalen het huidige HTTP-verzoek door er meerdere te onderzoeken
omgevingsvariabelen: HTTP_HOST (of SERVER_NAME en SERVER_PORT), REQUEST_URI,
QUERY_STRING en HTTPS.

De waarde van ${DACS::URI} en de padcomponent van ${Env::REQUEST_URI} niet
noodzakelijkerwijs hetzelfde. Na een interne redirect is de waarde van deze laatste bijvoorbeeld
van de oorspronkelijke URL, terwijl de eerste afkomstig is van het doel van de omleiding.

De huidige verzoekreeks is belangrijk omdat deze kan worden gebruikt om de
actueel federatie[21] en actueel jurisdictie[22], en omdat het wanneer wordt gebruikt
zoeken naar de toegangscontroleregel die op het verzoek moet worden toegepast.

DACS
Bestaande uit op CGI gebaseerde webservices, een apache 2.0/2.2-module, en een verzameling daarvan
Gereedschap, DACS biedt authenticatie- en autorisatiefunctionaliteit. Transparant,
grofkorrelige, op rollen gebaseerde toegangscontrole is beschikbaar voor webbronnen.

Programmatische, op rollen gebaseerde toegangscontrole voor algemene doeleinden is voor vrijwel iedereen beschikbaar
programma (met behulp van daccheck(1)[19]). Dit is volledig losgekoppeld van Apache.

DACS administrateur
Een persoon (of personen) die verantwoordelijk is voor het beheer van de werking van DACS is
genaamd a DACS beheerder (soms gewoon "de beheerder"). Deze persoon is
niet noodzakelijkerwijs een systeembeheerder (bijvoorbeeld superuser of root), hoewel klein
aantal optionele componenten van DACS moet worden uitgevoerd als gebruiker of groepsroot. De DACS
beheerder hoeft geen apache beheerder; eenmaal apache is geconfigureerd voor
DACS het vereist daarna doorgaans zeer weinig wijzigingen. De DACS administrateur
is verantwoordelijk voor het configureren en testen DACS (waarschijnlijk installeren en upgraden,
ook), het beheren van gebruikersaccounts en regels voor toegangscontrole, het waarborgen van de veiligheid, back-up
configuratie- en gegevensbestanden maken, enzovoort. Het ontwerp van DACS maakt enige delegatie mogelijk
van verantwoordelijkheid, grotendeels gebaseerd op bestandsrechten. Wanneer het wordt aangeroepen als een webservice,
elk van de identiteiten geconfigureerd als een BEHEERDER_IDENTITY[23] is feitelijk a DACS
beheerder; in deze context heeft de systeemsuperuser geen betekenis.

DACS identiteit
Elke geauthenticeerde gebruiker krijgt een naam toegewezen die bestaat uit de naam van de
authenticatie van het rechtsgebied, de federatienaam en een gebruikersnaam. Elk van deze namen
componenten moeten syntactisch correct zijn. In sommige contexten is de federatienaam
impliciet; soms is de jurisdictienaam ook impliciet. Entiteiten zoals
individuen (mensen, maar ook programma’s, apparaten, enz.), federaties, rechtsgebieden,
en groepen hebben namen. Het is de verantwoordelijkheid van de rechtsgebieden om te authenticeren
gebruikers. De syntaxis, betekenissen en uniciteit van namen zijn ook een jurisdictiekwestie.
en misschien ook een federatiebrede kwestie.

Elke entiteit uit de echte wereld heeft doorgaans een uniek exemplaar DACS identiteit, maar dit wordt overgelaten aan
rechtsgebieden authenticeren. Twee of meer identiteiten zijn verschillend als ze niet verwijzen
naar dezelfde persoon uit de echte wereld. Federatieve identiteit of Single Sign-On (SSO) is de
vermogen om een ​​gebruikersidentiteit te herkennen in verschillende rechtsgebieden en zelfs tussen federaties.

belangrijk
Houd er rekening mee dat ongeacht de authenticatiemethode en accountinformatie
gebruikt, twee identieke gebruikersnamen (met betrekking tot hetzelfde rechtsgebied en rekening houdend met
account NAME_COMPARE[24]) zijn stilzwijgend uitgegaan van naar verwijzen naar de dezelfde identiteit by
DACS. Bijvoorbeeld iemand die zich heeft geauthenticeerd als auggie door de juiste gegevens op te geven
Het Unix-wachtwoord is vrijwel niet te onderscheiden van iemand die zich heeft geauthenticeerd
auggie met behulp van een informatiekaart. Gebruikersreferenties bevatten informatie over de
authenticatiemethode die betrokken is bij hun creatie en de gebruiker()[25] functie kan
worden gebruikt om deze informatie te verkrijgen, maar het zou onverstandig zijn om daar identiteiten op te baseren
dit. Het wordt sterk aangeraden om een ​​nieuwe DACS jurisdictie zorgvuldig ontwikkelen
uitbreidbaar plan voor gebruikersnaamgeving.

DACS-verpakt
Er wordt gezegd dat er sprake is van een webbron DACS-wrapped als de webserver verantwoordelijk is voor het
hulpbronnen oproepen DACS (specifieker, dacs_acs(8)[18]) om een ​​toegangscontrole uit te voeren
besluit wanneer het een verzoek om de hulpbron ontvangt.

federatie
A DACS federatie bestaat uit één of meer jurisdicties. De jurisdicties bestaande uit
een federatie coördineert het delen van informatie via lichtgewicht zakelijke praktijken
geïmplementeerd als een vereiste voor lidmaatschap van a DACS federatie; met andere woorden, de
leden van een federatie komen doorgaans overeen bepaalde gedragsregels na te leven
de algehele veiligheid te behouden en ervoor te zorgen dat gebruikers maximaal voordeel kunnen behalen. Een federatie
bestaande uit slechts één jurisdictie is niet ongebruikelijk.

item type dan:
Een itemtype is een naam die verwijst naar een VFS[26] (virtuele filestore) specificatie dat
configureert hoe en waar gegevens worden opgeslagen. Het niveau van indirectheid dat ze bieden
betekent dat toegangscontroleregels bijvoorbeeld kunnen worden geconfigureerd als normaal
bestanden, een Berkeley DB-database, een database op afstand die toegankelijk is via HTTP, enzovoort - allemaal
wat vereist is, is dat het itemtype acls correct is geconfigureerd. Sommige artikeltypen
(zoals acls) zijn gereserveerd en hebben een speciale betekenis DACS, terwijl andere kunnen worden gebruikt door
a DACS beheerder voor andere doeleinden. De naam van een itemtype is hoofdlettergevoelig en
bestaat uit alfanumerieke tekens, koppeltekens en onderstrepingstekens, maar moet beginnen met een alfabetische tekst
karakter.

jurisdictie
A DACS jurisdictie is een autonome administratieve entiteit die haar authenticiteit bekrachtigt
gebruikers, biedt webservices, of beide. Het kan betrekking hebben op een organisatie,
afdeling, webserver of virtuele host. Rechtsgebieden worden soms eenvoudigweg gecreëerd als
een administratief gemak. Elk rechtsgebied krijgt een unieke naam toegewezen binnen een
federatie.

Het thuisrechtsgebied van een gebruiker is een rechtsgebied dat die gebruiker kan authenticeren. In
situaties waarin een gebruiker meerdere inloggegevens heeft verkregen van verschillende
rechtsgebieden, het effectieve thuisrecht voor een verzoek hangt ervan af
inloggegevens worden geselecteerd tijdens de autorisatieverwerking. Configuratierichtlijnen zijn
beschikbaar om het aantal sets met inloggegevens te beperken dat bij een verzoek kan worden gevoegd.

gebruiker agent
Een user-agent is software aan de clientzijde die samenwerkt met andere software (een server).
aanvraag, doorgaans) namens a gebruiker. Een gebruiker is vaak een persoon, maar kan dat ook zijn
software. Een webbrowser, die wordt gebruikt om met een webserver te communiceren, is daar een voorbeeld van
een user-agent.

Benoemen
DACS moet een verscheidenheid aan dingen benoemen, zodat ernaar kan worden verwezen in uitdrukkingen,
toegangscontroleregels, configuratierichtlijnen, enzovoort. Terwijl de URI-syntaxis wordt gebruikt
noem een ​​aantal soorten objecten binnenin DACS, DACS heeft ook zijn eigen beknopte naamgevingsschema's.

Note
De termen huidige federatie (huidige jurisdictie) en deze federatie (dit
rechtsgebied) worden in de documentatie gebruikt om naar de federatie te verwijzen (rechtsgebied)
geassocieerd met de configuratiecontext die van kracht is terwijl DACS verwerkt een aanvraag.

In het algemeen, de federatienaam onderdeel van een naam is optioneel; bij afwezigheid, de
huidige federatie wordt aangenomen. Op dezelfde manier is de rechtsgebiednaam kan worden weggelaten en de
huidige jurisdictie wordt geïmpliceerd.

Federaties
Syntax:

federatienaam::

Voorbeeld:

DEMO::

De federatienaam (meestal verkregen van a FEDERATION_NAME[27] configuratie
richtlijn) moet beginnen met een alfabetisch teken en wordt gevolgd door nul of meer
alfanumerieke tekens, koppeltekens en onderstrepingstekens. A federatienaam wordt gewoonlijk behandeld
gevoelig (maar zie de NAME_COMPARE[24] configuratierichtlijn en de gebruiker()[25]
functie voor alternatief gedrag). Er is geen a priori limiet op de lengte ervan.

De FEDERATIE_DOMAIN[28] richtlijn specificeert het achtervoegsel van de domeinnaam dat voor iedereen geldt
rechtsgebieden in een federatie.

rechtsgebieden
Syntax:

[[federatienaam:: | [::]] rechtsgebiednaam:

Voorbeelden:

DEMO::DSS:
::DSS:
DSS:

De rechtsgebiednaam (meestal verkregen van a JURISDICTION_NAME[29] configuratie
richtlijn) moet beginnen met een alfabetisch teken en wordt gevolgd door nul of meer
alfanumerieke tekens, koppeltekens en onderstrepingstekens. A rechtsgebiednaam wordt normaal gesproken behandeld
hoofdlettergevoelig (maar zie de NAME_COMPARE[24] configuratierichtlijn en de
gebruiker()[25] functie voor alternatief gedrag). Er is geen a priori limiet op zijn
lengte.

Gebruikers
Syntax:

​federatienaam:: | [::]] rechtsgebiednaam]:gebruikersnaam

Voorbeelden:

DEMO::DSS:auggie
::DSS:auggie
DSS: auggie
:auggie

Een volle DACS identiteit omvat een federatienaamcomponent en een jurisdictienaam
onderdeel, naast de gebruikersnaam. Het wordt verstrekt aan DACS-verpakte programma's als de
waarde van de DACS_IDENTITY[30] omgevingsvariabele.

De gebruikersnaamcomponent, die beschikbaar is voor CGI-programma's als de waarde van de
DACS_USERNAME[31] omgevingsvariabele, bestaat uit een of meer ASCII-tekens uit
de reeks hoofdletters en kleine letters, cijfers en de volgende leestekens
karakters:

! # $ % & '- . ; ? @ [ ^ _ ` { }

Alle tekens met een waarde kleiner dan 041 (octaal) of groter dan 0176 (octaal) zijn
ongeldig, evenals de volgende karakters:

* , : + ( ) ~ < > = | \ / "

Opmerkingen
· Naast de alfanumerieke tekens, RFC 2396[32] staat alleen de
volgende tekens ("pchar") om te verschijnen in de padcomponent van een URI:

- _ . ! ~ * ' ( ) % : @ & = + $ ,

· Sommige geldige e-mailadressen zijn niet geldig DACS gebruikersnamen. Bijvoorbeeld,
*bob*@example.com, "(bob)"@example.com en \(bob\)@example.com zijn geldig
mailboxnamen zoals gedefinieerd door RFC 822[33] (Bijlage D) en besproken in RFC
3696[34] (Sectie 3), maar beide zijn ongeldig als DACS gebruikersnamen. Tenzij geciteerd,
de lokale component van een e-mailadres, die voorafgaat aan het teken "@".
in de addr-specificatie mag het volgende niet voorkomen:

( ) < > @ , ; : \ ". [ ]

Bovendien worden de spatie en alle US-ASCII-besturingstekens (octetten 0 - 31)
en DEL (127) zijn niet toegestaan. Zonder aanhalingstekens kan het lokale gedeelte bestaan ​​uit
elke combinatie van alfabetische tekens, cijfers of een van de volgende tekens:

! # $ % & ' * + - / = ? ^ _ ` . { | } ~

Er mag een punt (".") worden gebruikt, maar deze mag het lokale gedeelte niet starten of beëindigen
er verschijnen twee of meer opeenvolgende perioden. Tussen dubbele aanhalingstekens, elke ASCII
karakter kan verschijnen als het correct wordt geciteerd (bijvoorbeeld Auggie."
".O."\'".[e-mail beveiligd]). De maximale lengte van het lokale deel is 64
tekens en de maximale lengte van de domeincomponent die daarna verschijnt
het teken "@" bestaat uit 255 tekens.

Er is momenteel geen manier om a te "citeren". DACS gebruikersnaam, dus een veilige codering
methode of transformatie moet op deze namen worden toegepast.

· DACS kan identiteiten creëren voor intern gebruik met gebruikersnaamcomponenten die
tekens bevatten die normaal gesproken ongeldig zijn.

· EEN gebruikersnaam is hoofdlettergevoelig (maar zie de NAME_COMPARE[24] configuratie
richtlijn en de gebruiker()[25] functie voor alternatief gedrag). Er is geen a
priori limiet op de lengte ervan.

· De aanbevolen praktijk is dat rechtsgebieden hun eigen land in kaart brengen DACS gebruikersnamen voor
waar mogelijk kleine letters tijdens de authenticatieprocedure en wanneer de
mappings zijn uniek. De UITGANG*Voor dit doel kan de richtlijn [35] worden gebruikt.

Groepen
Syntax:

[[federatienaam:: | [::]] %[rechtsgebiednaam]:groepsnaam

A groepsnaam moet beginnen met een alfabetisch teken en mag worden gevolgd door een willekeurig cijfer
uit alfanumerieke tekens, koppelteken ("-") en onderstrepingstekens ("_").

Voorbeelden:

%DEMO::DSS:vrienden
%::DSS:vrienden
%DSS:vrienden
%:vrienden

Rollen en roldescriptoren
Syntax:

Rolbeschrijving -> Lege tekenreeks | Rollenlijst

Rollenlijst -> Rol | Rol "" Rollenlijst

Rol -> Basisrol | Samengestelde rol

Basisrol -> [A-Za-z0-9\-_]+
Samengestelde rol -> Basisrol "/" Basisrol | Basisrol "/" Samengestelde rol

Lege tekenreeks -> ""

Een roldescriptorstring (ook wel rolstring of roldescriptor genoemd) bestaat uit
een door komma's gescheiden lijst met rollen. De naam van een rol (a Basisrol) is opgebouwd uit
hoofdletters en kleine letters, cijfers, koppeltekens en onderstrepingstekens. A Samengestelde rol is
opgebouwd uit twee of meer Basisrol termen, gescheiden door een schuine streep. Hier
zijn drie voorbeelden van een roldescriptor:

admin,wiel,root
beheerder/hardware
netwerken/programmeren,computerwetenschappen/systemen/Project_X

Note
Een roldescriptorreeks bevat geen spaties en mag niet beginnen met of
eindigen met een komma of schuine streep. Twee of meer opeenvolgende komma's zijn illegaal,
evenals twee of meer opeenvolgende schuine strepen.
De setvar()De functie [36] kan worden gebruikt om een ​​samengestelde rol op te splitsen in de basisrol
rollen.

Raadpleeg dacs.groepen(5)[37] voor aanvullende informatie.

Beknopte gebruikerssyntaxis
Syntax:

ident -> '{' kwv-lijst '}' | gebruiker
kwv-lijst -> kv [',' kv]*
kv -> kwv-gebruiker | kwv-groep | kwv-attr | kwv-ip | kwv-verloopt
kwv-gebruiker -> 'u=' [Q] gebruiker [V]
kwv-groep -> 'g=' [Q] groepen [V]
kwv-attr -> 'a=' [Q] attr [V]
kwv-verloopt -> 'e=' [Q] vervalt [V]
kwv-ip -> 'ip=' [Q] ip-adres [V]

gebruiker -> eenvoudige naam | DACS-identiteit
groepen -> groep [',' groep]*
groep -> groepsnaam | rolbeschrijving
attr -> elk-alfabetisch
ip-adres -> elk-IP-adres
vervalt -> +rel-sec | gegevens

waar:

· Q is een optioneel (overeenkomend) aanhalingsteken;

· witruimte kan optioneel voor de meeste tokens staan;

· A DACS-identiteit is een volledige of verkorte versie DACS identiteit[38]

· A eenvoudige naam is de gebruikersnaam onderdeel van a DACS identiteit (dat wil zeggen, zonder enige
dubbele punten); bijgevolg wordt in deze context een "speciale" naam, zoals auth, behandeld
als:auth

· rolbeschrijving moet geldig zijn DACS rolreeks en groepsnaam moet geldig zijn
DACS groepsnaam (zie dacs_authenticeren(8)[39] en dacs.groepen(5)[40]);

· een IP-adres wordt uitgedrukt in de internetstandaard numerieke puntnotatie (bijv.
10.0.0.1); en

· de levensduur van referenties die zijn afgeleid van de identiteit kan worden uitgedrukt als:
een bepaald aantal seconden (bijvoorbeeld "e=+3600") of een bepaalde datum in een van de volgende gevallen
formaten (zie strptijd(3)[41]):

%a, %d-%b-%Y %H:%M:%S GMT
%d-%b-%Y
%b %d, %Y
%b %d
%Y-%m-%dT%H:%M:%SZ

Indien nodig worden datums geïnterpreteerd ten opzichte van de huidige tijd of datum. De
levensduur wordt omgezet naar zijn canonieke vorm, namelijk de absolute tijd en datum
in seconden sinds het tijdperk, gebaseerd op de klok van het rechtsgebied. Een datum in het verleden
kan worden gespecificeerd; dit kan bijvoorbeeld nuttig zijn bij het testen. Als de identiteit
wordt niet gebruikt om inloggegevens aan te maken, de vervaldatum wordt genegeerd, hoewel dit wel het geval zou moeten zijn
syntactisch correct.

· de enige ondersteunde attribuutwaarde is "a", wat betekent dat de identiteit dat zou moeten zijn
behandeld als een BEHEERDER_IDENTITY[23] (zie de -beheerder vlag van daccheck(1)[19]).

Een naam uitgedrukt in de beknopte syntaxis geeft een gebruikersnaam en eventueel rollen en
attributen voor de identiteit. Het wordt gebruikt door daccheck(1)[19] bijvoorbeeld.

De dacs utility
DACS hulpprogramma-opdrachten worden meestal geïnstalleerd als afzonderlijke binaire bestanden, maar DACS kan (ook of
in plaats daarvan) worden gebouwd waarbij de meeste ervan worden gecombineerd in één enkel binair bestand dat wordt geïnstalleerd als
dacs. De verschillende hulpprogramma's kunnen dan worden uitgevoerd als:

% dacs dacs-opdracht [dac-opties] [commando-opties]

Bijvoorbeeld:

% dacs dacskey -u foo.myfed.com outfile

Het uitvoeren van de dacs hulpprogramma zonder argumenten toont de lijst met beschikbare subopdrachten.

Start-up In behandeling
De meeste DACS programma's voeren de volgende acties uit wanneer ze starten:

1. Bepaal de ‘modus’ waarin ze moeten opereren; bijvoorbeeld als de REMOTE_ADDR
omgevingsvariabele aanwezig is, zullen programma's er in het algemeen van uitgaan dat ze moeten draaien als een
webapplicatie in plaats van als een hulpprogramma-opdracht

2. Verwerk een standaardset opdrachtregelargumenten (dac-opties[42])

3. Stel het proces umask in op 007 om wereldtoegang voor aangemaakte bestanden te weigeren

4. Schakel een kerndump uit, zodat gevoelige informatie niet kan worden onthuld door deze te onderzoeken
(maar zie --enable-dump[43])

5. Weigeren om te werken als een configuratiebestand niet kan worden gevonden of een fout bevat

6. Voor webservices maakt u de DACS home directory de huidige werkmap

7. Als de "beveiligde modus" is ingeschakeld, verwerken webservices alleen HTTPS-verzoeken

8. Controleer of de versie die vereist is voor een verzoek compatibel is met de versie van DACS
ontvangst van het verzoek

9. Verwerk eventuele programmaspecifieke opdrachtregelargumenten.

DACS programma's doen hun best om gevoelige informatie (zoals wachtwoorden) zo snel mogelijk te vernietigen
omdat het niet langer nodig is en om potentieel gevoelige informatie niet naar logbestanden te schrijven
tenzij specifiek geconfigureerd om dit te doen.

internals
sommige DACS componenten kunnen andere componenten aanroepen met behulp van HTTP (mogelijk via SSL, afhankelijk van
configuratie). Authenticatiemodules kunnen bijvoorbeeld worden aangeroepen als webservices door
dacs_authenticeren(8)[39]. In alle gevallen is het mogelijk dat deze "interne" HTTP-aanroepen niet resulteren in een
omleiding, bijvoorbeeld via een 302 Found-statuscode. Hoewel dit soms een
ongemak, het is gedeeltelijk een veiligheidsmaatregel.

Tip
Bij het debuggen van een probleem waarbij mogelijk sprake is van een intern HTTP-verzoek (vooral gerelateerd
naar authenticatie), verifieer dat DACS ontvangt geen omleiding. Interne HTTP
verzoeken kunnen ook op mysterieuze wijze mislukken vanwege een onjuiste of onvolledige configuratie
van SSL-parameters. Interne HTTP-verzoeken via SSL-gebruik SSL-client(1)[4], evenals de
dacshttp(1)[3] opdracht. Als u vermoedt dat een https-geplande URL mogelijk niet werkt,
debug het probleem met behulp van SSL-client en dacshttp.

Om de gegevensconsistentie te behouden, DACS creëert exclusieve sloten met behulp van de fcntl(2)[44] systeem
roep bestanden aan die zijn geschreven in de map die is geconfigureerd via de TEMP_DIRECTORY[45]
Richtlijn.

Logging
De meeste DACS services en hulpprogramma's schrijven verschillende soorten berichten naar een of meer logbestanden.
Deze berichten kunnen van onschatbare waarde zijn als je probeert uit te vinden wat DACS doet, voor
beveiligingsaudits, of om te zien welke DACS-verpakte bronnen worden benaderd en in wat
manieren.

Raadpleeg dacs.conf(5)[46] voor informatie over configuratierichtlijnen gerelateerd aan
loggen. Een assortiment opdrachtregelvlaggen, hieronder beschreven, heeft ook betrekking op
loggen.

Note
· DACS kan logberichten verzenden voordat de configuratieverwerking is voltooid en
configuratie-instructies die verband houden met loggen zijn tijdens deze periode niet van kracht
opstartinterval.

· Omdat mod_auth_dacs[2] is een apache module, de apache Registratierichtlijnen zijn van toepassing
eraan (en niet de DACS richtlijnen) en de logberichten worden ernaar geschreven apache inloggen
bestanden.

· Logbestanden kunnen snel groot worden, vooral als het logniveau is ingesteld
debug- of traceerniveaus. Overweeg dagelijkse rotatie of truncatie.

· De tekst van een logbericht kan soms meerdere regels beslaan.

De standaardwaarde van de LOG_FORMAT[47] richtlijn, die de weergave van log regelt
berichten, is gedefinieerd in include/local.h als LOG_FORMAT_DEFAULT_WEB voor DACS webservices
en LOG_FORMAT_DEFAULT_CMD voor al het andere. Hier is een typisch logbericht:

[wo 12 juli 12:37:09 2006] [trace] [83648,1060,-] [dacs_acs:"acslib"] Toestaan
clausule verleent toegang

Audit-Klasse Log Berichten
In het geval van berichten van de auditklasse kan soms een tekenreeks tussen haakjes volgen
een identiteit, zoals in de onderstaande voorbeelden. Deze string, een tracker genaamd, associeert log
berichten met een bepaalde herkomst en kunnen worden gebruikt om de volgorde van berichten van een gebruiker te achterhalen
serviceaanvragen met behulp van logberichten binnen een federatie. Dit kan handig zijn wanneer
debuggen, zoeken naar beveiligingsproblemen of forensische analyse.

Voor een niet-geverifieerde gebruiker kan de tracker alleen heuristisch worden afgeleid
elementen van de uitvoeringscontext. Het IP-adres van de gebruiker, de user-agentstring en SSL
clientcertificaat, indien beschikbaar, worden gebruikt. Als twee van deze trackerstrings verschillen,
de verzoeken komen doorgaans van verschillende hosts, browsers of gebruikers, maar dit
hoeft niet altijd het geval te zijn. Op dezelfde manier, als dezelfde trackerstring dat is
geassocieerd met twee logberichten, zijn de serviceverzoeken niet noodzakelijkerwijs hetzelfde
uitgegeven door dezelfde gebruiker.

Voor een geauthenticeerde gebruiker bestaat de trackerreeks uit de heuristisch afgeleide gegevens
tekenreeks, gevolgd door een komma, gevolgd door een tekenreeks die uniek is gekoppeld aan die van de gebruiker
referenties. De kans is groot dat deze tracker uniek is en een
één-op-één mapping met een bepaalde gebruiker.

Overweeg deze (verkorte) logbestandvermeldingen:

[wo 12 juli 15:56:24 2006] [kennisgeving] [83963,1067,A] [dacs_acs:"authlib"]
*** Toegang verleend aan niet-geverifieerde gebruiker (7vJLWzv5) vanaf 10.0.0.124
voor /cgi-bin/dacs/dacs_current_credentials

[wo 12 juli 15:56:27 2006] [kennisgeving] [83965,1073,A] [dacs_acs:"authlib"]
*** Toegang verleend aan niet-geverifieerde gebruiker (7vJLWzv5) vanaf 10.0.0.124
voor /cgi-bin/dacs/dacs_authenticate

[wo 12 juli 15:56:27 2006] [debug] [83966,172,A] [dacs_authenticate:"authlib"]
Authenticatie geslaagd voor HOME:bobo (7vJLWzv5,wA/Pudyp3f0)

[wo 12 juli 15:56:30 2006] [kennisgeving] [83973,1078,A] [dacs_acs:"authlib"]
*** Toegang verleend aan DSS::HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
vanaf 10.0.0.124 voor /cgi-bin/dacs/dacs_current_credentials

In de eerste twee van de bovenstaande logberichten verschijnt de tracker 7vJLWzv5, wat betekent dat
de twee verzoeken kwamen waarschijnlijk van dezelfde (niet-geverifieerde) gebruiker. Met de derde
logbericht, de gebruiker is geverifieerd en de tracker 7vJLWzv5,wA/Pudyp3f0 is
gebruikt. Omdat deze trackers allemaal hetzelfde voorvoegsel delen, worden de eerste twee verzoeken
waarschijnlijk ook afkomstig van iemand die zich heeft geauthenticeerd als DSS::HOME:bobo. Het laatste verzoek,
voor /cgi-bin/dacs/dacs_current_credentials, kwam zeker van die gebruiker. Als dit
gebruiker zich zou afmelden en vervolgens overal in de federatie meer serviceverzoeken zou indienen
DSS zou elk logbericht de tracker 7vJLWzv5 bevatten.

Security
Het betrouwbaar volgen van de verzoeken van anonieme gebruikers is moeilijk goed te doen. A
Een op cookies gebaseerde aanpak kan in sommige situaties beter werken, maar heeft zijn eigen nadelen
(zoals het volledig ineffectief zijn wanneer de gebruiker cookies heeft uitgeschakeld).

Tracking Gebruiker Activiteit
DACS bevat een functie die is ingeschakeld als buildtime-optie (zie dacs.install(7)[48]), waarbij
een rechtsgebied kan de activiteit van al zijn gebruikers volgen (dat wil zeggen, de gebruikers die
authenticeren bij de jurisdictie). Elke succesvolle authenticatiegebeurtenis, expliciete afmelding
gebeurtenis en door de gebruiker ingediende webserviceverzoekgebeurtenis kunnen bij de gebruiker thuis worden opgenomen
jurisdictie in het formaat gedefinieerd door dacs_user_info.dtd[49]. Deze informatie kan
waardevol voor het beter begrijpen van wat er gebeurt in een federatie,
inclusief hulp bij het diagnosticeren van prestatie- en beveiligingsproblemen. Het is de basis van kenmerken
zoals weergaven van recente accountactiviteit, en het kan ook worden gebruikt om nieuwe te maken
mogelijkheden, zoals een limiet voor gelijktijdig inloggen of een adaptieve authenticatiecomponent
implementeer gelaagde authenticatie of op risico gebaseerde authenticatie.

Om te specificeren waar en hoe een thuisrechtsgebied deze gegevens moet bijhouden, wordt het bestand user_info
het itemtype moet in dat rechtsgebied worden gedefinieerd; als het niet is gedefinieerd, zullen er geen records zijn
geschreven in dat rechtsgebied, hoewel het rechtsgebied nog steeds zal proberen een gebeurtenis te verzenden
dossiers naar andere rechtsgebieden. Voor maximaal voordeel moet de functie überhaupt worden ingeschakeld
jurisdicties in een federatie, aangezien alle gebruikersactiviteiten binnen de federatie dat dan kunnen doen
ingelogd zijn.

Als een rechtsgebied de activiteiten van zijn gebruikers in andere rechtsgebieden wil monitoren, doet het dat
moeten deze jurisdicties de kans geven zich op haar beginsel te beroepen dacs_vfs(8)[50] service door een
passende toegangscontroleregel.

Security
Het is van cruciaal belang dat een dergelijke regel de dacs_admin()[51] predikaat.

Note
· De dacs_admin(8)[52] tools bieden een interface voor deze records. Het zou moeten
uiteindelijk worden uitgebreid tot het verzamelen en ordenen van gegevens die in alle rechtsgebieden worden aangetroffen
in een federatie om de analyse te vergemakkelijken. Omdat het tekstbestanden zijn met een
relatief eenvoudig formaat, beheerders zouden het niet moeilijk moeten vinden om het toe te passen
gangbare tekstverwerkingstools of schrijf hiervoor korte, op maat gemaakte programma's.
Commando's analoog aan laatste(1)[53], die(1)[54], en sa(8)[55] worden overwogen.

· Elk rechtsgebied moet documenten naar zijn eigen plaats (dat wil zeggen rechtsgebieden) schrijven
mag niet hetzelfde VFS-object delen voor user_info).

· Deze database zal voor onbepaalde tijd groeien; een beheerder is verantwoordelijk voor het rouleren
of het inkorten ervan. Als eerdere en actieve aanmeldingsinformatie belangrijk is (zie
dacs_current_credentials(8)[56]), snoei alleen de verzoekrecords (dat wil zeggen, de acs
elementen). Een andere acceptabele methode is om een ​​deel van de bestanden weg te gooien (of te archiveren).
oudere records (laten we zeggen de helft) en bewaar enkele van de nieuwere records.

· Het gegevensformaat kan worden gewijzigd.

· Er kan een richtlijn worden toegevoegd om deze functie tijdens runtime in of uit te schakelen.

· Interne administratieve gebeurtenissen worden niet geregistreerd.

· Omdat uitloggen (via dacs_signout(8)[57]) is optioneel, het einde van een sessie
kan soms alleen worden afgeleid of benaderd uit het verstrijken van de inloggegevens of
het tijdstip van de laatst opgenomen gebeurtenis.

OPTIES

DACS Programma's en webservices halen een groot deel van hun runtime-configuratie-informatie binnen
configuratiebestanden lezen en omgevingsvariabelen onderzoeken. Enige configuratie
informatie kan worden verstrekt tijdens het compileren. Hiervoor kunnen verschillende opdrachtregelvlaggen worden gebruikt
standaardgedrag overschrijven.

Note
· Alle dac-opties vlaggen worden van links naar rechts verwerkt en moeten vóór elke vlag verschijnen
opdrachtspecifieke vlag of argument. De eerste vlag of argument dat dat niet is
erkend als een van de dac-opties beëindigt de lijst.

· Het belangrijkste dac-opties zijn degenen die de locatie specificeren van
configuratiebestanden en identificeer de jurisdictiesectie die moet worden gebruikt binnen een
configuratiebestand. Afhankelijk van het programma en hoe het wordt gebruikt, configuratie
informatie is mogelijk niet nodig, is mogelijk optioneel of vereist.

· Er kan maximaal één van de opdrachtregelvlaggen zijn om een ​​jurisdictiesectie te selecteren
gespecificeerd. Verwijzen naar dacs.conf(5)[46] voor aanvullende informatie over de
configuratiebestand en configuratieverwerking.

Veel DACS hulpprogramma's herkennen de volgende standaardopties, die worden aangeroepen
dac-opties:

-c dacs.conf
Dit vertelt DACS waar het een configuratiebestand kan vinden voor het rechtsgebied waar het zich bevindt
namens het optreedt. Als dit argument niet aanwezig is, afhankelijk van hoe het is gebouwd,
DACS kan proberen een tijdens het compileren gespecificeerd bestand te gebruiken, of het zal proberen het bestand
waarde van de omgevingsvariabele DACS_CONF[58]. Voor details, zie lokaliseren
dacs.conf en site.conf[59].

-Dnaam=waarde
Het effect van deze vlag is het definiëren van de variabele naam (die syntactisch geldig moet zijn)
in de DACS naamruimte om de waarde te hebben waarde. Eventuele citaten in de buurt waarde worden behouden,
op voorwaarde dat de schaal ze nog niet heeft verwijderd. Deze vlag kan worden herhaald. Deze
variabelen kunnen vervolgens worden getest tijdens de configuratieverwerking en -regel
verwerken; De waarde van een configuratierichtlijn kan bijvoorbeeld afhangen van de
waarde van a dac-opties vlag. Het definiëren van een naam dat komt overeen met a
dac-opties flag heeft geen ander effect dan het creëren van de variabele.

Alles dac-opties vlaggen (Exclusief dit een) worden automatisch toegevoegd aan de DACS
naamruimte terwijl ze worden verwerkt. Een vlag die een "singleton" is (bijv. -q) is aanvankelijk
krijgt de waarde één toegewezen en wordt bij elke volgende verschijning verhoogd. Een vlag van
het formulier -vlag waarde is gelijk aan -D-vlag=waarde. Ongebruikte vlaggen zijn niet gedefinieerd; als -q
wordt niet gegeven, ${DACS::-q} zal niet gedefinieerd worden. Voor die vlaggen die synoniemen hebben, a
Er wordt voor elk synoniem een ​​variabele gemaakt. Als de naam expliciet of impliciet wordt gebruikt,
latere waarden vervangen eerdere.

Als de dac-opties zijn:

-c www.example.com -v --verbose -Dfoo="baz" -ll debug -D-ll=trace

dan worden variabelen als volgt gedefinieerd:

${DACS::-c} is "www.voorbeeld.com"
${DACS::-v} is "2"
${DACS::--verbose} is "2"
${DACS::foo} is "\"baz\""
${DACS::-ll} is "traceren"

Het foutopsporingsniveau is debuggen en niet traceren.

--dumpenv
Druk alle omgevingsvariabelen af ​​naar stdout en sluit vervolgens onmiddellijk af.

--enable-dump
Standaard DACS webservices en de meeste opdrachten schakelen het genereren van kerndumps uit als een
veiligheidsmaatregel. Omdat een core dump handig kan zijn bij het debuggen, wordt deze flag
maakt het mogelijk om het te creëren. Zoals programma's die een core dump mogen produceren dat ook moeten doen
veranderen naar de DACS_HOME map, worden daar kerndumps geschreven. Gebruik deze vlag
met zorg.

-formaat fmt
Het uitvoerformaat is ingesteld op fmt, wat een van de volgende trefwoorden is (case
ongevoelig): bestand, html, json, php, gewoon, tekst, xml, xmldtd, xmlsimple of
xmlschema. Niet alle uitvoerformaten worden door alle programma's ondersteund. Deze vlag heeft voorrang
elke FORMAT[60] argument voor een webservice, die op zijn beurt de standaardinstellingen van een programma overschrijft
formaat. Het standaardformaat hangt af van het specifieke programma en de manier waarop het wordt aangeroepen.
Raadpleeg voor meer informatie de beschrijving of de FORMAT argument[60].

-NS logging-niveau
Het logniveau is ingesteld op Log niveau, een van de trefwoorden die worden herkend door de
LOG_FILTER[61] richtlijn.

--vergunning
Druk de licentie af voor DACS om uit te stappen en dan onmiddellijk af te sluiten.

-q
Wees stil. Dit komt overeen met het instellen van het logniveau om te waarschuwen.

-sc site.conf
Dit vertelt DACS dat het een configuratiebestand kan vinden voor het rechtsgebied waar het zich bevindt
namens het optreedt. Als dit argument niet aanwezig is, afhankelijk van hoe het is gebouwd,
DACS kan proberen een tijdens het compileren gespecificeerd bestand te gebruiken, of het zal proberen het bestand
waarde van de omgevingsvariabele DACS_CONF[58]. Voor details, zie lokaliseren
dacs.conf en site.conf[59].

--soa
Dit markeert het einde van de veel voorkomende argumenten. Het volgende opdrachtregelargument, indien aanwezig, is
specifiek voor het programma.

-t
Tracing-informatie verzenden. Dit komt overeen met het instellen van het logboekregistratieniveau op traceren.
(Zie ook debug_dacs[62].)

-u configuratie-uri
Dit instrueert: DACS gebruiken configuratie-uri om de jurisdictiesectie te selecteren die u wilt gebruiken in de
configuratiebestand. Voor details, zie De Jurisdictie sectie[63].

-uj rechtsgebiednaam
Dit instrueert: DACS om de naam van het rechtsgebied te gebruiken rechtsgebiednaam om de te selecteren
jurisdictiesectie om te gebruiken in het configuratiebestand. Voor details, zie De
Jurisdictie sectie[63].

Een
Dit instrueert: DACS site.conf of dacs.conf niet verwerken. Deze mag alleen gebruikt worden met
een klein aantal opdrachten, zoals dassacl(1)[64] en SSL-client(1)[4].

-op rechtsgebiednaam
NIET GEÏMPLEMENTEERD. Dit geeft instructies DACS om de naam van het rechtsgebied te gebruiken rechtsgebiednaam naar
selecteer de jurisdictiesectie die u in het configuratiebestand wilt gebruiken en vertelt dat de
webserver fungeert als voorwaartse proxy; dat is, rechtsgebiednaam niet
noodzakelijkerwijs "eigenaar" van de gevraagde URL. Voor details, zie De Jurisdictie
sectie[63].

-ons
Dit instrueert: DACS om de enige jurisdictiesectie te gebruiken die verschijnt in de
configuratiebestand. Dat wil zeggen dat het configuratiebestand precies één bestand moet bevatten
jurisdictiesectie en dat is degene die moet worden gebruikt. Voor details, zie
De Jurisdictie sectie[63].

-v
--uitgebreid
Wees uitgebreider, in verhouding tot het huidige logniveau. Deze vlag kan worden herhaald.

--versie
Druk de versie-informatie onmiddellijk af naar stderr en sluit vervolgens af. Als -v verscheen eerder
druk op de opdrachtregel ook de versie-informatie voor elk ervan af DACS broncodebestand in
dit programma.

Note
Volledige versie-informatie is alleen beschikbaar voor statisch gekoppelde programma's.
Zie ook dacsversie(1)[65] en dacs_versie(8)[66].

Tip
Als er geen opdrachtregelvlag wordt gegeven om de jurisdictiesectie op te geven, wordt de waarde van de
variabele omgeving STANDAARD_JURISDICTIE zal worden gebruikt alsof het wordt gegeven bij de -uj vlag.
Dit kan met name handig zijn als voor een host slechts één rechtsgebied is geconfigureerd
omdat het daardoor onnodig is om altijd de jurisdictie te specificeren DACS commando's.

MILIEU

SERVER_NAME, SERVER_PORT, REQUEST_URI
Kan worden gebruikt om de toepasselijke jurisdictie te bepalen.

Gebruik dacs online met behulp van onworks.net-services