Dit is de opdracht dacsauth die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
dacsauth - authenticatiecontrole
KORTE INHOUD
dacsauth [-m auth-module-specificatie] [...] [-r rollen-module-spec] [...] [-DRichtlijnen=waarde]
[-naar]
[-fj naam] [-fn fednaam] [-h | -Help] [-ID kaart] [-NS Log niveau]
[-p wachtwoord]
[-pf filet] [-snel] [-q] [{-u | -gebruiker} gebruikersnaam] [-v]
dacsauth-modules
PRODUCTBESCHRIJVING
Dit programma maakt deel uit van het DACS op.
De dacsauth utility test of het gegeven authenticatiemateriaal voldoet aan de authenticatie
vereisten en geeft de uitkomst aan via de afsluitstatus van het proces. Het lijkt op
dacs_authenticeren(8)[1] en gedoopt(1)[2].
dacsauth biedt een manier voor scripts en andere programma's om gebruik te maken van de DACS authenticatie
infrastructuur. Ze kunnen succesvolle authenticatie gebruiken als een grove vorm van
autorisatie; alleen een gebruiker die een correct wachtwoord opgeeft, mag het programma uitvoeren
programma bijvoorbeeld. Of ze retourneren mogelijk een soort inloggegevens nadat ze succesvol zijn
authenticatie, of misschien gebruik dacs_auth_agent(8)[3] om terug te keren DACS geloofsbrieven.
dacsauth kan ook worden gebruikt om rolinformatie op te halen die aan een bepaalde gebruiker is gekoppeld.
dacsauth leest er geen DACS configuratiebestanden. Alles wat nodig is om de test uit te voeren
moet als argument worden opgegeven.
Tip
If dacsauth gebruikt een ingebouwde module om authenticatie uit te voeren of rollen op te zoeken, geen
server bestanddeel is nodig. Dit betekent dat u gebruik kunt maken van dacsauth zonder te hoeven
toegang krijgen tot een webserver, inclusief Apache, of deze zelfs configureren.
OPTIES
De volgende opdrachtregelvlaggen worden herkend. Minstens een -m vlag (uitvoeren
authenticatietests), of tenminste één -r flag moet worden opgegeven (om een rol te vormen
descriptorreeks voor de identiteit en druk deze af naar stdout). Een combinatie van beide vlaggen is dat wel
toegestaan, in welk geval een roldescriptorreeks alleen wordt uitgevoerd als de authenticatietest wordt uitgevoerd
is succesvol.
-DRichtlijnen=waarde
Dit is hetzelfde als instellen Richtlijnen, een generaal DACS configuratierichtlijn, naar
waarde. Zien dacs.conf(5)[4].
-naar
De volgende tekenreeks die wordt geleverd door de -p, -pfof -snel flag is de waarde van de
HULP authenticatie argument. Dit biedt een veilige manier om gevoelig door te geven
aanvullende informatie, zoals een pincode, naar het programma. Een vlag om het wachtwoord te verkrijgen,
indien aanwezig, moet deze vlag op de opdrachtregel voorafgaan.
-fj naam
Te gebruiken naam, die syntactisch geldig moet zijn, als de naam van het rechtsgebied. Indien nodig
maar niet opgegeven, wordt een waarde gebruikt die is afgeleid van de domeinnaam van de host.
-fn fednaam
Te gebruiken fednaam, die syntactisch geldig moet zijn, als de federatienaam. Indien nodig
maar niet opgegeven, wordt een waarde gebruikt die is afgeleid van de domeinnaam van de host.
-h
-Help
Geef een helpbericht weer en sluit af.
-ID kaart
Als dit lukt, drukt u het geverifieerde document af DACS identiteit aan de standaarduitvoer.
-NS Log niveau
Stel het uitgangsniveau voor foutopsporing in op: Log niveau (Zie dacs(1)[5]). Het standaardniveau is
waarschuwen.
-m auth-module-specificatie
Elk type authenticatietest dat vereist is, wordt beschreven door een auth-module-specificatie
die onmiddellijk volgt op de -m vlag. Elk auth-module-specificatie is in wezen een
alternatieve weergave van een Auth clausule[6] en de bijbehorende richtlijnen, die worden gebruikt door
dacs_authenticeren(8)[1]. Net zoals de volgorde waarin Auth-clausules verschijnen in a DACS
configuratiebestand, de volgorde waarin het -m vlaggen verschijnen, kunnen aanzienlijk zijn,
afhankelijk van onder controle te houden trefwoorden. Tijdens de verwerking, opeenvolgend -m componenten zijn
automatisch toegewezen namen, auth_module_1, auth_module_2, enzovoort, voornamelijk voor
doeleinden van foutrapportage.
An auth-module-specificatie heeft de volgende syntaxis:
De module begint met de naam van een ingebouwde module, of met een geldige afkorting
daarvan, of de (absolute) URL van een externe authenticatiemodule (equivalent aan
de URL[7] richtlijn). Vervolgens moet een herkend trefwoord in de authenticatiestijl verschijnen
specificatie (equivalent aan de STIJL[8] richtlijn). Vervolgens de onder controle te houden trefwoord volgt,
die identiek is aan de CONTROL[9] richtlijn in de Auth-clausule. Na de onder controle te houden
trefwoord, kunnen de hieronder beschreven vlaggen in willekeurige volgorde volgen.
An auth-module-specificatie eindigt wanneer de eerste ongeldige vlag (of het einde van de vlaggen) is
tegengekomen.
De -O vlag is gelijk aan een OPTIE[10] richtlijn.
De -Van flag wordt gevolgd door een argument dat de naam is van een bestand waaruit moet worden gelezen
opties, één per regel, in het formaat naam=waarde. Lege regels en regels die beginnen met
een '#' wordt genegeerd; Merk op dat deze regels niet beginnen met "-O" en dat aanhalingstekens eenvoudigweg zijn
gekopieerd en niet geïnterpreteerd. De -Van flag kan worden gebruikt om te voorkomen dat wachtwoorden worden ingeschakeld
de opdrachtregel en maakt het gemakkelijker om uitdrukkingen te schrijven die anders wel zouden bestaan
zorgvuldig te worden vermeden om bijvoorbeeld interpretatie door de schaal te voorkomen.
De -uitdr vlag is gelijk aan de EXPR[11] richtlijn. De -vfs vlag is gewend
configureer VFS[12] richtlijnen vereist door deze module.
-modules
Geef een lijst met ingebouwde authenticatiemodules en rolmodules weer, één per regel, en
ga dan uit. De canonieke modulenaam wordt afgedrukt, gevolgd door nul of meer equivalent
afkortingen. Voor authenticatiemodules wordt de authenticatiestijl weergegeven. Om te vermelden
de beschikbare modules, voer de opdracht uit:
% dacsauth -modules
De set beschikbare (ingeschakelde) ingebouwde authenticatie- en rolmodules wordt bepaald
wanneer DACS is gebouwd.
-p wachtwoord
Geef het wachtwoord op dat u wilt gebruiken (gelijk aan het WACHTWOORD argument voor
dacs_authenticeren).
Security
Een wachtwoord dat op de opdrachtregel wordt gegeven, kan zichtbaar zijn voor andere gebruikers op dezelfde regel
systeem.
-pf filet
Lees het wachtwoord om van te gebruiken filet (gelijk aan de WACHTWOORD argument voor
dacs_authenticeren). Als filet is "-", dan wordt het wachtwoord uit de standaardinvoer gelezen
zonder te vragen.
-snel
Vraag om het wachtwoord en lees het uit stdin (equivalent aan de WACHTWOORD argument voor
dacs_authenticeren). Het wachtwoord wordt niet herhaald.
-q
Wees stiller door het uitvoerniveau voor foutopsporing te verlagen.
-r rol-module-specificatie
Rollen voor gebruikersnaam kan worden bepaald door het geven van deze vlag, die onmiddellijk is
gevolgd door een rollen-module-spec. De -r vlag kan worden herhaald, en de resulterende rollen
zijn gecombineerd. Elk rollen-module-spec is in wezen een alternatieve weergave van a
Rollenclausule die wordt gebruikt door dacs_authenticeren(8)[13]. Opeenvolgende -r componenten zijn
toegewezen namen, rollen_module_1, rollen_module_2, enzovoort, voornamelijk voor foutrapportage
praktische doeleinden.
A rollen-module-spec heeft de volgende syntaxis:
De module component is gelijk aan die van de Roles-clausule URL[14] richtlijn en is
ofwel de naam van een beschikbare ingebouwde rollenmodule, een geldige afkorting daarvan,
of de (absolute) URL van een externe rollenmodule.
Vlaggen kunnen de volgen module onderdeel, in willekeurige volgorde. A rollen-module-spec eindigt wanneer
de eerste ongeldige vlag (of het einde van de vlaggen) wordt aangetroffen.
De -O vlag is gelijk aan een OPTIE[10] richtlijn.
De -Van flag wordt gevolgd door een argument dat de naam is van een bestand waaruit moet worden gelezen
opties, één per regel, in het formaat naam=waarde. Lege regels en regels die beginnen met
een '#' wordt genegeerd; Merk op dat deze regels niet beginnen met "-O" en dat aanhalingstekens eenvoudigweg zijn
gekopieerd en niet geïnterpreteerd. De -Van flag kan worden gebruikt om te voorkomen dat wachtwoorden worden ingeschakeld
de opdrachtregel en maakt het gemakkelijker om uitdrukkingen te schrijven die anders wel zouden bestaan
zorgvuldig te worden vermeden om bijvoorbeeld interpretatie door de schaal te voorkomen.
De -uitdr vlag is gelijk aan de EXPR[11] richtlijn. De -vfs vlag is gewend
configureer VFS[12] richtlijnen vereist door module.
-u gebruikersnaam
-gebruiker gebruikersnaam
De gebruikersnaam waarmee moet worden geverifieerd (equivalent aan de USERNAME argument voor
dacs_authenticeren). Deze gebruikersnaam is impliciet gekoppeld aan de effectieve
federatie en jurisdictie (zie de -fn[15] en -fj[16] vlaggen).
-v
De -v flag verhoogt het debugging-uitvoerniveau om te debuggen of (indien herhaald) te traceren.
Voorbeelden
Security
If dacsauth gebruikt een ingebouwde module om authenticatie uit te voeren, deze moet setuid of uitvoeren
setgid om voldoende rechten te verkrijgen om toegang te krijgen tot het vereiste wachtwoordbestand (hetzelfde
geldt voor ingebouwde rolmodules). Als er een externe module wordt gebruikt, zal die module dat ook doen
moet worden uitgevoerd met voldoende toegangsrechten DACS cryptografische sleutels,
specifiek federation_keys en mogelijk DACS of systeemwachtwoordbestanden; de externe
module zal dan moeten worden uitgevoerd met voldoende rechten om toegang te krijgen tot alle bestanden die erin staan
vereist.
Zorg ervoor dat u de federation_keys gebruikt die correct zijn voor uw federatie. Verwijzingen
authenticatiemodules in twee of meer federaties zullen waarschijnlijk niet werken.
dacsauth zou daarom normaal gesproken niet moeten worden uitgevoerd als de UID van de gebruiker die deze aanroept
(tenzij dat root is) omdat het geen toegang heeft tot de informatie
het heeft nodig. Dit voorkomt ook dat een gebruiker "vals speelt" (bijvoorbeeld door zich te hechten aan de
actieve module met een debugger).
In dit voorbeeld wordt gebruiker "bobo" met het wachtwoord "test" geverifieerd tegen de DACS wachtwoord bestand
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd wachtwoord vereist
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p test
Als de afsluitstatus van het commando nul is, is de authenticatietest geslaagd, anders niet
mislukt.
In het volgende voorbeeld wordt geprobeerd "bobo" te authenticeren aan de hand van haar Unix-wachtwoordbestand. De
programma vraagt om het wachtwoord.
% dacsauth -m unix-wachtwoord vereist -u bobo -prompt
In het volgende voorbeeld dacsauth probeert "bobo" te authenticeren via NTLM aan
winders.voorbeeld.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Dit voorbeeld is vergelijkbaar met het vorige, behalve dat het een externe authenticatiemodule betreft
wordt gebruikt en het wachtwoord wordt uit een bestand gelezen. Door de externe module extra
configuratie moet worden opgegeven; in het bijzonder de locatie van federation_keys en de
Federatie- en jurisdictienamen moeten worden opgegeven.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd voldoende -OSAMBA_SERVER="winders.example.com" \
-fn VOORBEELD -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
Om te authenticeren tegen de Kopen Google Reviews[17] rekening [e-mail beveiligd], zou je kunnen gebruiken:
% dacsauth -m http passwd volstaan \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=E-mail -OPASSWORD_PARAMETER=Wachtwoord \
-Oservice=xapi -Osource=DSS-DACS-1.4 -prompt -u [e-mail beveiligd]
In het volgende voorbeeld wordt een expressie geëvalueerd om te bepalen of authenticatie
zou moeten slagen. De gebruiker ("bobo") wordt om een wachtwoord gevraagd. Alleen als de string "foo" is
gegeven zal de authenticatie slagen. Een realistischer voorbeeld zou een ander programma kunnen aanroepen
helpen bij het maken van de beslissing, bijvoorbeeld.
% dacsauth -m expr expr suffi \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
Authenticatie tegen een Apache htdigest wachtwoordbestand wordt als volgt uitgevoerd
bijvoorbeeld, waarbij het wachtwoord wordt gelezen uit stdin:
% echo "test" | dacsauth -m apache digest voldoende \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="DACS Digest-authenticatiegebied" \
-u bobo -pf-
Authenticatie via de PAM-module werkt anders dan de andere modules – en is meer
ingewikkeld in gebruik - omdat dacsauth Het kan zijn dat het meerdere keren moet worden uitgevoerd, afhankelijk van wat
informatie die PAM nodig heeft. In plaats van een ja/nee-beslissing te geven, dacsauth mag afdrukken
vraagt om meer informatie naar stdout. Bekijk de operationele details in
dacs_authenticeren(8)[18] en Pmd(8)[19] voordat u deze module probeert te gebruiken.
Het volgende voorbeeld demonstreert het gebruik van de module vanaf de opdrachtregel. Eenmaal de basis
ideeën worden begrepen, moet het duidelijk zijn hoe je een script schrijft om de uitvoering uit te voeren
noodzakelijke iteraties. Details in het voorbeeld, zoals paden, moeten mogelijk worden aangepast
jouw omgeving. Houd er rekening mee dat in dit voorbeeld de gebruikersnaam niet de eerste keer wordt opgegeven
dacsauth wordt uitgevoerd, hoewel dit wel het geval zou kunnen zijn als dit bekend zou zijn.
% dacsauth -m pam gevraagd voldoende \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj VOORBEELD -fn TEST
AUTH_PROMPT_VAR1="Inloggen:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam gevraagd voldoende \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Wachtwoord:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam gevraagd voldoende \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="eenwachtwoord" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
De eerste keer dacsauth wordt uitgevoerd in het voorbeeld, retourneert het een prompt voor de gebruikersnaam
("Login:") die is gekoppeld aan de transactievariabele AUTH_PROMPT_VAR1 en
transactie-ID (AUTH_TRANSID). Dit laatste moet worden doorgegeven aan de volgende
executies van dacsauth. De tweede run van dacsauth geeft de gebruikersnaam ("bobo") door en
retourneert een andere prompt ("Wachtwoord:") die is gekoppeld aan de transactievariabele
AUTH_PROMPT_VAR2. Bij de derde run wordt het wachtwoord ("apassword") doorgegeven, maar er wordt niet om gevraagd
geretourneerd, wat aangeeft dat de sessie voltooid is en dat de afsluitstatus van het programma wordt weergegeven
het resultaat van authenticatie.
Tip
Of dacsauth vereist een wachtwoord om rollen op te halen, hangt af van de specifieke rollen
module gebruikt. Er is bijvoorbeeld geen wachtwoord vereist bij lokale_unix_rollen[20] of
lokale_rollen[21] om rollen te verkrijgen, maar lokale_ldap_rollen[22] zal waarschijnlijk een
wachtwoord om aan de map te binden en rollen te verkrijgen.
In dit voorbeeld wordt de rolreeks voor gebruiker 'bobo' afgedrukt door het ingebouwde bestand aan te roepen
lokale_unix_rollen[20] module:
% dacsauth -r unix -u bobo
bobo,wiel,www,gebruikers
Het volgende voorbeeld is vergelijkbaar met het vorige, behalve dat er een externe rollenmodule wordt gebruikt:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn VOORBEELD -u bobo
bobo,wiel,www,gebruikers
De externe rollenmodule kan op een andere host worden uitgevoerd dan de host die actief is
dacsauth. Mits dacsauth is geïnstalleerd en er is een bijbehorend federation_keys-bestand aanwezig
beschikbaar op de lokale host, hoeft de lokale host geen DACS jurisdictie hebben of hebben
anders DACS configuratie.
In het volgende voorbeeld wordt de rol snaar[23] voor gebruiker "bobo", bekend binnen de
map met de algemene naam "Bobo Baggins", met behulp van de (externe) lokale_ldap_rollen[22]
module en de "directe" bindingsmethode:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn VOORBEELD -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domein_Admins, Beheerders
Omdat er te veel vlaggen zijn om eenvoudig en correct op de opdrachtregel te plaatsen, kan het
opties die hiervoor nodig zijn, worden gelezen uit een bestand dat is opgegeven door de -Van vlag.
Dit biedt ook een veiligere manier om wachtwoorden aan het programma door te geven; zorgen voor die toegang
toegang tot het bestand is op passende wijze beperkt. Het bestand
/usr/local/dacs/ldap_roles_options_direct kan een configuratie zoals deze bevatten:
LDAP_BIND_METHOD=direct
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . coderen(url,${Args::DACS_USERNAME}) . ",CN=Gebruikers,DC=voorbeeld,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrwaarde, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Het volgende voorbeeld lijkt op het vorige, behalve dat het de "indirecte" binding gebruikt
methode en hoeft daarom niet de Common Name van de gebruiker te krijgen:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn VOORBEELD -fj FEDROOT -p boboswachtwoord
DnsAdmins, Print_Operators, Domein_Admins, Beheerders
Het bestand /usr/local/dacs/ldap_roles_options_indirect bevat mogelijk configuraties zoals
deze:
LDAP_BIND_METHOD=indirect
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Beheerder,CN=Gebruikers,DC=voorbeeld,DC=com
# Zoek onder Gebruikers...
LDAP_SEARCH_ROOT_DN=CN=Gebruikers,DC=voorbeeld,DC=com
LDAP_ADMIN_PASSWORD=hetSecretAdminPassword
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrwaarde, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Stel dat men wilde gebruiken dacsauth om een gebruiker via LDAP te authenticeren op een manier die analoog is aan
deze dacs.conf-configuratie:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE "wachtwoord,add_roles"
CONTROLE "vereist"
LDAP_BIND_METHOD "direct"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . coderen(url, ${Args::USERNAME}) . ",cn=Gebruikers,dc=voorbeeld,dc=lokaal"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
Een bestand als dit (bijvoorbeeld /usr/local/dacs/ldap_auth_options_direct) zou de
volgende richtlijnen:
LDAP_BIND_METHOD=direct
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . coderen(url, ${Args::USERNAME}) . ",cn=Gebruikers,dc=voorbeeld,dc=lokaal"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Authenticatie kan dan worden uitgevoerd met behulp van een opdracht als deze:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd volstaan \
-Van /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn VOORBEELD -u bobo -prompt
DIAGNOSE
Het programma eindigt met 0 als de authenticatie succesvol was of met 1 als de authenticatie mislukte of
er is een fout opgetreden.
Gebruik dacsauth online met behulp van onworks.net-services
