dacstoken - Online in de Cloud

PROGRAMMA:

NAAM

dacstoken - beheer op hash gebaseerde eenmalige wachtwoorden

KORTE INHOUD

dacstoken [dac-opties[1]] [-allemaal] [-baseren num] [-teller num] [-cijfers num]
[-uitzetten | -inschakelen] [-hotp-venster num] [-intoetsen type voorwerp]
[[-sleutel sleutelval] | [-sleutelbestand bestandsnaam] | [-sleutel-prompt,-modus otp-modus]
[-buitensleutels type voorwerp]
[[-Pin pinval] | [-pin-bestand bestandsnaam] | [-pin-prompt,-pin-beperkingen str]
[-nd] [-zaad str] [Serial str] [-totp-delta num] [-top-drift nvensters]
[-totp-hasj alg]
[-top-tijdstap secs] [-vfs vfs_uri] [op-spec] [gebruikersnaam]

PRODUCTBESCHRIJVING

Dit programma maakt deel uit van het DACS op.

De dacstoken nutsbedrijf beheert DACS accounts gekoppeld aan een eenmalig wachtwoord (OTP)
genererende apparaten (penningen) of op software gebaseerde clients. Met behulp van opdrachtregelopties kan het ook
berekent OTP-waarden; Token-accountparameters kunnen worden overschreven, maar accounts zijn niet gelijk
vereist.

Wanneer er sprake is van sterke twee-factor-authenticatie, kan dit worden geboden dacs_authenticeren[2] is geconfigureerd
Om het gebruik lokale_token_authenticate[3] authenticatiemodule of wanneer dacstoken wordt gebruikt als
een zelfstandig programma om wachtwoorden te valideren. Zowel de op HMAC gebaseerde eenmalige wachtwoordmodus
(HOTP), gebaseerd op een gebeurtenisteller en gespecificeerd door RFC 4226[4], en op tijd gebaseerd
eenmalige wachtwoordmodus (TOTP), zoals gespecificeerd door de laatste IETF Internet-concept[5] voorstel,
ondersteund. Extra operationele modi[6] genaamd OCRA (EED Uitdaging-reactie
Algoritmen), beschreven in een IETF Internet-Draft, worden nog niet volledig ondersteund.

Note
Deze versie van dacstoken bevat veel wijzigingen die niet achterwaarts compatibel zijn
met release 1.4.24a en eerder. Sommige opdrachtregelvlaggen werken anders, en
het formaat van het accountbestand is gewijzigd. Als u deze opdracht eerder hebt gebruikt
releases, maak dan een reservekopie van uw tokenaccountbestand en bekijk deze handleiding
pagina zorgvuldig door voordat u verdergaat (let op de -overzetten vlag[7] in het bijzonder).

belangrijk
Er is geen door de leverancier geleverde software vereist dacstoken om de functionaliteit ervan te leveren. De
apparaten die momenteel worden ondersteund, hebben geen registratie- of configuratie-interactie nodig
met verkopers en dacstoken doet niet interactie Met verkoper' servers or . elke
gepatenteerd software. Voor de uitvoering is mogelijk door de leverancier geleverde software vereist
initialisatie of configuratie voor andere tokenapparaten, en dacstoken doet
deze steun niet bieden.

Elk tokenapparaat komt doorgaans overeen met precies één account dat wordt beheerd
dacstoken, hoewel sommige leveranciers tokens produceren die meerdere accounts kunnen ondersteunen.

Samenvattend: dit hulpprogramma:

· creëert en beheert DACS accounts die zijn gekoppeld aan op teller gebaseerde en op tijd gebaseerde accounts
eenmalige wachtwoorden

· biedt validatie- en testfunctionaliteit

· biedt een mogelijkheid tot verificatie via de opdrachtregel

Security
Alleen de DACS beheerder zou dit programma met succes moeten kunnen uitvoeren vanaf de
opdrachtregel. Omdat DACS sleutels en configuratiebestanden, inclusief het bestand dat wordt gebruikt om
store-accounts, moet worden beperkt tot de beheerder, dit is normaal gesproken de
geval, maar een zorgvuldige beheerder zal bestandspermissies instellen om toegang tot iedereen te weigeren
andere gebruikers.

Note
De dacs_token(8)[8] De webservice biedt gebruikers beperkte zelfbediening
functionaliteit om de pincode van hun account in te stellen of opnieuw in te stellen en hun token te synchroniseren. Het ook
heeft een demonstratiemodus om testen en evaluatie te vereenvoudigen.

pincodes (Rekening Wachtwoorden)
A dacstoken Er kan optioneel een pincode (dat wil zeggen een wachtwoord) aan het account zijn gekoppeld. Naar
Om zich te authenticeren met een dergelijk account, moet een gebruiker het geproduceerde eenmalige wachtwoord opgeven
per teken en de pincode. De TOKEN_REQUIRES_PIN[9] configuratierichtlijn bepaalt
of er een pincode moet worden opgegeven bij het aanmaken of importeren van een account; het is niet van toepassing
combinatie met de -delpen flag, omdat alleen een beheerder dit zou moeten kunnen doen
die functie.

Een hash van de pincode wordt opgeslagen in het accountrecord in plaats van de pincode zelf. Hetzelfde
methode gebruikt door dacspaswd(1)[10] en dacs_passwd(8)[11] wordt toegepast en is afhankelijk van de
WACHTWOORD_DIGEST[12] en WACHTWOORD_SALT_PREFIX[13] richtlijnen van kracht. Als
WACHTWOORD_DIGEST[12] is geconfigureerd, wordt dat algoritme gebruikt, anders een compilatietijd
standaard (SHA1) wordt gebruikt. Als een gebruiker de pincode vergeet, kan de oude pincode niet worden hersteld
moet worden verwijderd of er moet een nieuwe worden ingesteld.

Bij sommige tokenapparaten is een pincodefunctie ingebouwd. De gebruiker moet een pincode invoeren
het apparaat voordat het apparaat een eenmalig wachtwoord verzendt. Deze "apparaat-PIN" is
volledig verschillend van de account-PIN waarmee wordt beheerd dacstoken, en deze handleiding is dat ook
alleen bezig met de dacstoken PIN. Indien mogelijk moet altijd de apparaat-PIN worden gebruikt;
de dacstoken Een pincode wordt sterk aanbevolen en is vereist voor tweefactorauthenticatie
(tenzij op een andere manier een extra authenticatiefactor wordt toegepast).

Omdat alleen de beheerder deze opdracht mag uitvoeren, zijn er geen beperkingen opgelegd
over de lengte of kwaliteit van de pincodes die de beheerder verstrekt; een waarschuwingsbericht
wordt echter verzonden als het wachtwoord als zwak wordt beschouwd, zoals bepaald door de
WACHTWOORD_CONSTRAINTS[14] richtlijn.

Een keer wachtwoorden
Beide soorten apparaten met een eenmalig wachtwoord berekenen een wachtwoordwaarde door gebruik te maken van een beveiliging
ingetoetst hash-algoritme (RFC 2104[15], FIPS 198[16]). Bij de tegengebaseerde methode wordt het apparaat
en de server delen een geheime sleutel en een tellerwaarde die worden gehasht om een ​​numeriek getal op te leveren
waarde weergegeven in een bepaalde radix met een bepaald aantal cijfers. Succesvol
Voor authenticatie moeten het apparaat en de server overeenkomende wachtwoorden berekenen. Elke keer de
apparaat een wachtwoord produceert, verhoogt de teller. Wanneer de server een matching ontvangt
wachtwoord, het verhoogt de teller. Omdat het mogelijk is dat de twee tellers worden
niet gesynchroniseerd, zal het matching-algoritme van de server doorgaans het wachtwoord van een client toestaan
om binnen een "venster" van tegenwaarden te vallen. De op tijd gebaseerde methode is vergelijkbaar, de belangrijkste
Het verschil is dat de huidige Unix-tijd (zoals geretourneerd door niet de tijd of(3)[17] bijvoorbeeld).
gebruikt om een ​​"tijdstapvenster" vast te stellen dat als tellerwaarde bij de berekening dient
van de veilige hash. Omdat de realtime klokken op het apparaat en de server dat mogelijk niet zijn
voldoende gesynchroniseerd is, moet het matching-algoritme van de server ook dat van een client toestaan
wachtwoord voor deze apparaten binnen een aantal tijdstapvensters valt.

Security
Aan een token kan door zijn token een permanente geheime sleutel worden toegewezen (ook wel een OTP-seed genoemd).
fabrikant of de sleutel kan programmeerbaar zijn. Deze geheime sleutel wordt gebruikt door de tokens
procedure voor het genereren van wachtwoorden en het is van cruciaal belang dat deze privé blijven. Als het teken
niet programmeerbaar is, wordt de sleutel verkregen van de leverancier (meestal voor een HOTP-token).
door het serienummer van het apparaat en drie opeenvolgende wachtwoorden op te geven). Een opname
van elke toewijzing van serienummer tot geheime sleutel moet op een veilige locatie worden bewaard.

Als de geheime sleutel programmeerbaar is, zoals bij een softwareclient waarschijnlijk het geval is, is dat ook het geval
minimaal vereist 128 stukjes lengte; een minimum van 160 stukjes is aanbevolen. De
sleutel wordt weergegeven door een hexadecimale reeks van 16 (of meer) tekens. De sleutel moet
worden verkregen uit een bron van willekeurige bits van cryptografische kwaliteit. Sommige klanten kunnen dat wel zijn
in staat om een ​​geschikte sleutel te genereren, maar u kunt deze wel gebruiken dacsexpr(1)[18]:

% dacsexpr -e "willekeurig(tekenreeks, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"

Tip
Tokens kunnen worden gebruikt voor andere authenticatiedoeleinden dan computeraanmelding. Voor
Door bijvoorbeeld een rekeningnummer, pincode en tokenwaarde op te geven, kunnen klanten snel
worden geauthenticeerd via de telefoon, waardoor de noodzaak voor dure en
tijdrovende beveiligingsvragen.

Apparaten en applicaties met een eenmalig wachtwoord hebben de volgende operationele parameters.
Deze parameters bepalen de wachtwoordreeks die wordt gegenereerd. Sommige operationeel
parameters kunnen worden vastgesteld (door de relevante standaard of als gevolg van de implementatie), terwijl
andere kunnen gedeeltelijk of volledig door de gebruiker worden geconfigureerd. Raadpleeg de
referenties en documentatie van de fabrikant voor details.

baseren
De radix waarin wachtwoorden worden weergegeven.

teller
Alleen voor de HOTP-modus: de huidige tellerwaarde.

cijfers
Het aantal cijfers in elk eenmalig wachtwoord.

sleutel
De geheime sleutel (OTP-zaad).

volgnummer
Een unieke identificatie of naam voor het apparaat.

tijdstapgrootte
Alleen voor de TOTP-modus: de breedte van elk tijdsinterval, in seconden. Hetzelfde wachtwoord
wordt binnen een bepaald interval gegenereerd; dat wil zeggen, dit is de "levensduur" of geldigheid
periode van elk TOTP-wachtwoord.

Naast deze parameters, dacstoken gebruikt meerdere per account (dwz per apparaat)
parameters:

accept-venster
Bij het valideren van een HOTP-wachtwoord wordt het maximale aantal wachtwoorden waarmee rekening moet worden gehouden na de
verwachte wachtwoord.

drift
Alleen voor de TOTP-modus: het aantal seconden waarmee de klok van de server moet worden aangepast
vooruit of achteruit om het beter met het apparaat te synchroniseren. Dit is gewend
compenseren voor tokens of clientsoftware waarvan de klokken niet goed zijn gesynchroniseerd
van de server.

drift-venster
Alleen voor de TOTP-modus, maar analoog aan het acceptatievenster, het maximale aantal
intervallen (elk tijdstapgrootte) om vooruit en achteruit te zoeken tijdens het valideren
tegen een bepaald wachtwoord.

synchronisatie-otps
Alleen voor de HOTP-modus: het aantal opeenvolgende eenmalige wachtwoorden dat vereist is
synchroniseer het account met het apparaat.

gebruikersnaam
De naam van de DACS account gebonden aan het apparaat.

Authenticatie op basis van apparaten met een eenmalig wachtwoord heeft de volgende voordelen:

· Elke keer dat een gebruiker zich authenticeert, wordt er een ander wachtwoord gegenereerd (met high
waarschijnlijkheid); gebruikers kunnen daarom "het wachtwoord" niet noteren omdat het wachtwoord is
altijd veranderen; gebruikers kunnen hun wachtwoord niet vergeten;

· Eenmaal gebruikt, wordt een wachtwoord voor de HOTP-modus onmiddellijk "gebruikt" en zal het waarschijnlijk niet meer worden gebruikt
opnieuw voor een lange tijd; met geschikte configuratieparameters, een TOTP-moduswachtwoord
automatisch "verloopt" binnen een relatief kort tijdsinterval en het is onwaarschijnlijk dat dit het geval zal zijn
opnieuw lange tijd gebruikt;

· Als er geen correctie voor klokafwijking vereist is, kan een TOTP-modusaccount alleen-lezen hebben
operatie;

· Omdat het onwaarschijnlijk is dat het wachtwoord een gemakkelijk te raden getal of reeks is, zou dit wel het geval moeten zijn
sterker zijn dan de meeste door de gebruiker geselecteerde wachtwoorden;

· Een HOTP-token kan de basis vormen van een wederzijdse ("bidirectionele") authenticatiemethode; de
server toont de gebruiker het volgende wachtwoord van zijn token om zijn identiteit te bevestigen (met beide
partijen die hun tellers naar voren schuiven), toont de client de server het volgende wachtwoord
om zijn identiteit te bevestigen;

· Als er een sleutelzoeker op de computer van de gebruiker is geïnstalleerd, is dat bij een gesnoven wachtwoord niet het geval
een aanvaller geen goed doen, tenzij: man in het midden aanvallen[19] is mogelijk; gegeven N
opeenvolgende wachtwoorden is het nog steeds erg moeilijk om een ​​wachtwoord te berekenen N + 1 zonder
het kennen van de geheime sleutel;

· Het is moeilijker voor gebruikers om een ​​account te delen (hoewel gebruikers dit soms wel kunnen doen).
beschouw dit als een ongemak);

· Als een dacstoken Er wordt een pincode aan een account toegewezen en een aanvaller verkrijgt die van de account
token, het is nog steeds moeilijk voor de aanvaller om zich te authenticeren zonder de pincode te kennen;

· Een snelle en onmiddellijk effectieve manier om een ​​account uit te schakelen is door eenvoudigweg beslag te leggen op een
hardwaretoken (bijvoorbeeld als een werknemer wordt ontslagen), hoewel een account kan worden uitgeschakeld
dit programma of gebruik de herroeping lijst[vier];

· In het geval van een softwareclient die op een mobiel apparaat draait, zoals een telefoon of PDA,
gebruikers dragen het apparaat al bij zich; gratis clients zijn beschikbaar, dus daar
Er zijn mogelijk geen extra kosten aan verbonden (houd er rekening mee dat mobiele apparaten mogelijk niet hetzelfde bieden
manipulatiebestendigheid, duurzaamheid, sleutelgeheimhouding, kloknauwkeurigheid, enz. van een hardwaretoken).

Apparaten met een eenmalig wachtwoord hebben de volgende potentiële nadelen:

· Er zijn eenmalige kosten verbonden aan een hardwaretoken (afhankelijk van het aankoopvolume,
je kunt verwachten dat je elk $ 10- $ 100 USD betaalt), en de mogelijkheid bestaat dat dit wel moet
vervang een verloren of gebroken token, of de batterij van een token (sommige eenheden hebben een
niet-vervangbare batterij, waardoor ze na een paar jaar wegwerpbaar zijn);

· De initiële configuratie is iets moeilijker dan bij andere authenticatie
methoden, en gebruikers die niet bekend zijn met de apparaten zullen instructies moeten krijgen over hun
gebruik;

· Hoewel ze doorgaans vrij klein zijn (bijvoorbeeld 5 cm x 2 cm x 1 cm) en eraan kunnen worden bevestigd
een sleutelhanger of sleutelkoord, of bewaard in een portemonnee, kunnen gebruikers huiveren als ze een token moeten dragen
rond met hen;

· Gebruikers kunnen vergeten hun token bij zich te hebben of deze kwijtraken;

· Een mobiel apparaat (met een softwareclient) is waarschijnlijk een waarschijnlijk doelwit voor diefstal
dus dan een hardwaretoken (vandaar het extra belang van een pincode voor dit apparaat);

· In tegenstelling tot een hardwaretoken waarbij de sleutel ontoegankelijk en fraudebestendig is ingebrand
geheugen, is de sleutel die in een softwareclient is geconfigureerd waarschijnlijk leesbaar door zijn
eigenaar, waardoor delen van het account mogelijk wordt;

· Het invoeren van een startwaarde van 40 tekens of langer op een mobiel apparaat kan frustrerend zijn
en gevoelig voor fouten;

· Zodra een TOTP-apparaat een wachtwoord genereert, kan er pas een nieuw wachtwoord worden gegenereerd
volgende tijdstapvenster, waarbij de gebruiker 30 (of mogelijk 60) seconden moet wachten (bijv.
als er een invoerfout is gemaakt);

· Sommige apparaten zijn moeilijk leesbaar bij weinig licht; presbyope gebruikers en dergelijke
met een verminderd gezichtsvermogen kunnen moeite hebben met het lezen van het display.

accounts
De rekeningen beheerd door dacstoken zijn volledig gescheiden van de accounts die worden gebruikt door
local_passwd_authenticate[21] of een andere DACS authenticatiemodule.

Accounts voor HOTP- en TOTP-apparaten kunnen worden gecombineerd of gescheiden worden gehouden. Als de virtuele
filestore itemtype auth_hotp_token is gedefinieerd, het wordt alleen gebruikt voor gekoppelde accounts
met HOTP-tokens. Op dezelfde manier, als het virtuele filestore-itemtype auth_totp_token is
gedefinieerd, wordt het alleen gebruikt voor accounts die zijn gekoppeld aan TOTP-tokens. Als een van beide itemtypes dat is
niet gedefinieerd, accounts zijn toegankelijk via DACS'en virtuele bestandsopslag met itemtype
auth_token. Er wordt aangenomen dat de bestandsrechten voor de accountdatabases zodanig zijn dat alle
toegang is beperkt tot de beheerder en lokale_token_authenticate.

Als er accounts voor de twee apparaattypen zijn gecombineerde, omdat elke gebruikersnaam voor een
De authenticatiemethode moet uniek zijn, als een individu beide soorten token heeft, moet dat ook gebeuren
verschillende gebruikersnamen toegewezen krijgen. Dus bijvoorbeeld als Auggie één HOTP-token en één heeft
TOTP-token, de eerste kan overeenkomen met de gebruikersnaam auggie-hotp en de laatste met
auggie-totp; het aanmeldingsformulier kan een invoer in de apparaatmodus bevatten die Auggie mogelijk maakt
om eenvoudigweg "auggie" in het gebruikersnaamveld te typen en JavaScript om automatisch de
het juiste achtervoegsel op basis van de geselecteerde apparaatmodus. Een duidelijk nadeel hiervan
configuratie is dat het resulteert in twee verschillende DACS identiteiten voor hetzelfde individu;
dit zou moeten worden onthouden als er een toegangscontroleregel nodig was om Auggie te identificeren
uitdrukkelijk. Als beide tokens naar hetzelfde moeten verwijzen DACS identiteit, zou de Auth-clausule dat wel kunnen
verwijder het achtervoegsel na succesvolle authenticatie, maar de beheerder zou dat dan doen
moet oppassen voor het geval van twee verschillende Auggies, die elk een ander apparaattype gebruiken.

Zowel de itemtypen auth_hotp_token als auth_totp_token configureren (of slechts één daarvan
en auth_token) houdt de accounts gescheiden en maakt het mogelijk dat dezelfde gebruikersnaam wordt gebruikt
beide soorten apparaten. Auggie zou daarom een ​​accountrecord bij hetzelfde kunnen hebben
gebruikersnaam voor beide apparaattypen. Voor deze aanpak moet de apparaatmodus worden gespecificeerd
wanneer een bewerking wordt aangevraagd zodat het juiste itemtype kan worden gebruikt; Dit betekent dat
gebruikers moeten weten welk type apparaat ze gebruiken (misschien door er een label op te plakken).
Raadpleeg belangrijke details over DACS identiteiten[22].

De -vfs wordt gebruikt om het itemtype auth_token te configureren of opnieuw te configureren.

Alleen sleutels die voldoen aan de minimale sleutellengtevereiste (16 bytes) kunnen worden opgeslagen
accountgegevens (bijv. met -set or -importeren). In andere contexten is dit de vereiste
niet afgedwongen.

De geheime sleutel wordt gecodeerd door dacstoken wanneer het naar het accountbestand wordt geschreven. De
virtueel filestore-itemtype auth_token_keys identificeert de coderingssleutels voor dacstoken
gebruiken; de -intoetsen en -buitensleutels vlaggen specificeren alternatieven (zie dacskey(1)[23]). Als de
coderingssleutels gaan verloren, de geheime sleutels zijn vrijwel onherstelbaar.

belangrijk
Als een aanvaller een geheime sleutel ontdekt, genereert hij bruikbare wachtwoorden zonder deze in bezit te hebben
het token zal niet moeilijk zijn. Voor tenminste sommige hardwaretokens wordt de sleutel verbrand
in het apparaat en kan niet worden gewijzigd; in dit geval, als de sleutel lekt, wordt het apparaat gelekt
vernietigd moeten worden. Als een token verloren gaat, moet het bijbehorende account worden uitgeschakeld.
In het geval dat een aanvaller een verloren token vindt of een geheime sleutel ontdekt, heeft hij een sterke
De pincode die aan het account is gekoppeld, maakt het voor de aanvaller moeilijk om toegang te krijgen
toegang.

belangrijk
· Deze authenticatiemethode is getest met de volgende OTP-producten:

· Authenex Een sleutel 3600[24] hardwaretoken voor eenmalig wachtwoord (HOTP);

· Feitiaans Technologies [25] OTP C100 en OTP C200 hardware voor eenmalig wachtwoord
tokens, verstrekt door HyperSecu Informatie Systems[26]; En

· EED Token[27] softwareapplicatie van Archie Cobbs, die beide implementeert
HOTP en TOTP op de iPod Raak aan, iPhone, en iPad[28].

· Feitiaanse technologieën iEed Lite[29] HOTP-softwareapplicatie voor de iPod
Touch, iPhone en iPad.

Andere fabrikanten die geïnteresseerd zijn in ondersteuning van hun producten door DACS zijn
welkom om contact op te nemen met Dss.

· Foto[30]: Feitian OTP C200, iPod Touch met de OATH Token-app, Authenex A-Key
3600 (met de klok mee vanaf linksboven)

· Hoewel deze implementatie alleen zou moeten werken met vergelijkbare, conforme producten
deze producten worden officieel ondersteund door DACS.

· Hardwaretokens kunnen rechtstreeks bij de leveranciers worden gekocht.

· Eventuele problemen met het gebruik van tokens voor authenticatie DACS zijn niet de
verantwoordelijkheid van de tokenleverancier.

Importeren en Exporteren OTP accounts
Beschrijvingen van accounts en hun tokens kunnen worden geladen of gedumpt (zie de -importeren
en -exporteren vlaggen). Dit vereenvoudigt bulkprovisioning, back-up en portabiliteit. De
accountinformatie is geschreven in een eenvoudig, applicatiespecifiek (bijna) XML-formaat.

Het formaat dat wordt begrepen door dacstoken bestaat uit een rootelement ("otp_tokens"), gevolgd door
nul of meer "otp_token"-elementen, één per regel, elk met vereist en optioneel
attributen (hieronder beschreven). De XML-declaratie moet worden weggelaten. Toonaangevende witruimte en
Lege regels worden genegeerd, evenals XML-opmerkingen met één regel. Bovendien kunnen regels met een "#"
als het eerste niet-witruimteteken worden genegeerd. Optionele kenmerken die dat niet zijn
present zijn standaardwaarden toegewezen. Het standaard digest-algoritme is SHA1. Kort attribuut
namen worden gebruikt om ruimte te besparen. Niet-herkende attributen en attributen die niet relevant zijn voor de
apparaatmodus, worden genegeerd. Enkele of dubbele aanhalingstekens (of beide) binnen het XML-attribuut
waarden moeten worden vervangen door de overeenkomstige entiteitsreferentie ("'" en """,
respectievelijk), evenals de tekens "<" (kleiner dan) en "&" (ampersand). Een ">" (groter
than) teken mag optioneel worden vervangen door een ">" reeks, maar geen andere entiteit
referenties worden herkend.

Herkende kenmerken zijn:

· B:
baseren
--radix voor OTP-waarde
[Optioneel:
10 (Standaard)
16of 32]

· C:
teller
-- huidige tellerwaarde voor HOTP, in hex indien voorafgegaan
met "0x" (of "0X"), anders decimaal
[Optioneel:
standaard is 0]

· D:
OTP apparaat mode
-- "c" (voor HOTP)
of "t" (voor TOTP)
[Verplicht]

· dn:
digest-naam
-- een van de Secure Hash-algoritmen
[Optioneel:
SHA1 (standaard),
SHA224, SHA256,
SHA384, SHA512]

· dr:
klokafwijking
-- klokaanpassing, in seconden, voor TOTP
[Optioneel]

· bijv:
gecodeerde sleutel
-- gecodeerde geheime sleutel, base-64 gecodeerd
[Vereist:
alleen OTP-accountrecords]

· nl:
ingeschakeld-status
-- 1 voor ingeschakeld,
0 voor gehandicapten
[Verplicht]

· k:
platte tekst-sleutel
- ongecodeerde geheime sleutel
[Verplicht]

· lu:
laatste update
-- Unix-tijd van laatste recordupdate
[Optioneel: standaard is de huidige tijd]

· nld:
cijfers
-- aantal cijfers voor OTP-waarde
[Optioneel:
standaard is 6 voor HOTP,
8 voor TOTP]

· P:
leesbare pincode
-- platte tekst-pincode voor het account
[Vereist:
tenzij ph aanwezig is,
alleen voor import]

· tel:
gehashte pincode
-- gehashte pincodewaarde voor het account
[Optioneel:
gegenereerd door dacstoken
alleen voor export- en OTP-accountbestanden]

· S:
serienummer
-- unieke identificatiereeks voor het apparaat
[Verplicht]

· ts:
tijd stap
-- tijdstapwaarde, in seconden, voor TOTP
[Optioneel:
standaard is 30]

· jij:
gebruikersnaam
-- een geldige DACS gebruikersnaam die aan dit account is gekoppeld
[Verplicht]

In het volgende voorbeeld worden twee accounts beschreven die kunnen worden gemaakt met behulp van de -importeren vlag:







Security
Omdat geïmporteerde records de niet-versleutelde geheime sleutels voor de OTP-apparaten bevatten, kunnen de
Het geëxporteerde bestand moet gecodeerd worden bewaard (bijvoorbeeld met behulp van openssl) of tenminste hebben
juiste bestandsrechten.

Note
Er wordt gewerkt aan een standaardformaat voor het inrichten van OTP-apparaten. Dit formaat kan zijn
begrepen door een toekomstige versie van dacstoken, of er kan een conversiehulpprogramma worden geschreven.
Het standaardformaat is waarschijnlijk aanzienlijk complexer dan het DACS formaat.

OPTIES

Naast de standaard dac-opties[1], er is een lange lijst met opdrachtregelvlaggen
erkend. Wanneer een gebruikersnaam is opgegeven, zijn de standaardwaarden die aan dat account zijn gekoppeld, dat ook
gebruikt, anders worden aanbevolen of implementatiespecifieke standaardwaarden gebruikt. Deze standaard
waarden kunnen doorgaans op de opdrachtregel worden overschreven. Sommige vlaggen zijn alleen toegestaan ​​met een
bepaalde tokenmodus (bijv. -teller, -top-show) en hun uiterlijk impliceert die modus,
Het maken van -modus vlag onnodig; andere vlaggen zijn modusonafhankelijk (bijv. -delete,
-inschakelen). Het is een fout om een ​​onderling incompatibele vlagcombinatie te gebruiken. Vlaggen die dat zijn
betekenisloos zijn bij de geselecteerde bewerking worden genegeerd, hoewel ze nog steeds een modus impliceren.
Hexadecimale waarden zijn niet hoofdlettergevoelig. Als een tellerwaarde vereist is, maar niet gespecificeerd
(bijvoorbeeld bij het aanmaken van een account) wordt een initiële tellerwaarde van nul gebruikt.

De op-spec specificeert de uit te voeren bewerking, samen met nul of meer verandering
vlaggen. Als op-spec ontbreekt, de -lijst operatie wordt uitgevoerd. Een op-spec een van de
volgende:

-authenticatie otp-waarde
Deze vlag is als -valideren[31], behalve:

· A gebruikersnaam is vereist, waaruit alle parameters worden verkregen (zoals de sleutel);

· als de rekening een pincode heeft, moet deze worden opgegeven;

· als het account voor een HOTP-token is, wordt de teller bijgewerkt bij authenticatie
is succesvol.

Een afsluitstatus van nul duidt op succesvolle authenticatie, terwijl elke andere waarde
betekent dat authenticatie is mislukt.

-overzetten bestandsnaam
Laad een tokenaccountbestand in een oudere indeling (vóór release 1.4.25). bestandsnaam ("-"
betekent lezen van stdin), converteer het naar het nieuwere formaat en schrijf het naar stdout (as
by -exporteren). Deze vlag is verouderd en deze mogelijkheid zal in de toekomst worden verwijderd
uitgave van DACS.

-creëren
Maak een account aan voor gebruikersnaam, die niet al mag bestaan. In andere opzichten wel
werkt als -set[32]. Bij het aanmaken van een nieuw account, Serial is vereist en -sleutel is
impliciet. Als Nee -inschakelen vlag wordt verstrekt bij het aanmaken van een account, -uitzetten is geïmpliceerd.
Zo nee -teller vlag is opgegeven, wordt standaard nul gebruikt. Als een van de PIN-vlaggen is
aanwezig is, wordt de opgegeven pincode aan het account toegewezen, anders niet
een pincode hebt (anders wordt de bestaande pincode niet gewijzigd).

-huidige
Geef de huidige voortschrijdende factor weer (dat wil zeggen de tellerwaarde voor HOTP of het interval).
waarde voor TOTP) en verwachte OTP voor gebruikersnaam. Voor HOTP wordt de teller vooruitgezet. Alle
parameters worden uit de rekening gehaald.

-delete
Verwijder het account voor gebruikersnaam. De geheime sleutel van het apparaat en andere operationele
parameters gaan verloren.

-delpen
Verwijder de pincode, indien aanwezig, van het account voor gebruikersnaam, waardoor het account zonder een
PIN.

-exporteren
Schrijf informatie over alle accounts, of slechts één account indien gebruikersnaam wordt gegeven, aan
stoer. Als er echter een modus wordt geselecteerd, zijn alleen accounts met die modus beschikbaar
geschreven. Deze informatie kan opnieuw worden geladen met -importeren or -importeren-vervangen. Het resultaat
moet in gecodeerde vorm worden opgeslagen, of op zijn minst over de bestandsrechten beschikken
op de juiste manier instellen. Bijvoorbeeld:

% dacstoken -uj VOORBEELD -export | openssl enc -aes-256-cbc > dacstoken-exported.enc

Later zou je iets kunnen doen als:

% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj VOORBEELD -importeren -

-h
-Help
Geef een helpbericht weer en sluit af.

-hotp-show num
Display num opeenvolgende HOTP-wachtwoorden vanaf een bepaalde tellerwaarde en sleutel. De
-teller flag kan worden gebruikt om een ​​initiële tellerwaarde op te geven. De sleutel kan zijn
gespecificeerd gebruiken -sleutel, -sleutelbestandof -sleutel-prompt. Als een gebruikersnaam wordt verstrekt, de
initiële tellerwaarde en sleutel worden verkregen van de HOTP-account van de gebruiker, tenzij een van beide
waarde wordt overschreven op de opdrachtregel; de opgeslagen tellerwaarde van de rekening is dat niet
gewijzigd. Dit is voornamelijk bedoeld voor foutopsporingsdoeleinden.

-importeren bestandsnaam
-importeren-vervangen bestandsnaam
Laad account- en tokeninformatie van bestandsnaam; als bestandsnaam is "-", stdin wordt gelezen.
Als een modus is geselecteerd, worden alleen accounts met die modus gelezen. Met -importeren het is
een foutmelding als er al een geïmporteerd account bestaat en de verwerking stopt; -importeren-vervangen
zal een bestaand account vervangen door geïmporteerde gegevens.

-l
-lijst
-lange
If gebruikersnaam wordt verstrekt, informatie over het bijbehorende account weergeven; als de
Serial vlag wordt gegeven, geeft u informatie weer over het account met het opgegeven serienummer
nummer; vermeld anders alle accounts. Als de -modus vlag wordt gegeven in elk van deze gevallen,
vermeld echter alleen de accounts waarvoor de operationele modus is opgegeven. Als dit
vlag wordt herhaald, of met de -lange vlag, wordt meer detail weergegeven: apparaattype,
accountstatus, serienummer van het apparaat, tellerwaarde (voor HOTP), klokafwijkingswaarde (voor
TOTP), of de account al dan niet een pincode heeft (aangegeven door een "+" of "-" symbool), en
de tijd en datum van de laatste wijziging van het account.

- hernoemen nieuwe gebruikersnaam
Hernoem het bestaande account naar gebruikersnaam te nieuwe gebruikersnaamen wijzig de nieuwe
account met opdrachtregelargumenten (zoals bij -set[32]). Omdat hiervoor twee stappen nodig zijn
die niet atomair worden gedaan, als er een fout optreedt, is het mogelijk dat het nieuwe account dat wel doet
aangemaakt worden en het oude account blijft bestaan.

-set
De -set flag wordt gebruikt om het bestaande account te wijzigen gebruikersnaam gebaseerd op één of meerdere
modifier-argumenten (-baseren, -teller, -cijfers, -uitzetten or -inschakelen, -sleutel (of -sleutelbestand
or -sleutel-prompt), -Pin (of -pin-bestand or -pin-prompt), of Serial). De modus kan ook zijn
gewijzigd door op te geven -modus, maar modusspecifieke parameters die aan het account zijn gekoppeld
gaat verloren (de huidige tellerwaarde wordt bijvoorbeeld verwijderd als er een HOTP-account is
gewijzigd in een TOTP-account) en algemene parameters (zoals het serienummer) zullen zijn
behouden tenzij deze wordt overschreven op de opdrachtregel.

-synchroniseren wachtwoordlijst
In de HOTP-modus probeert dit de server te synchroniseren met het token voor gebruikersnaam. De
wachtwoordlijst is een door komma's gescheiden lijst van drie opeenvolgende wachtwoorden, geproduceerd door de
token van de gebruiker (deze "automatische synchronisatie"-functie is ook beschikbaar via
lokale_token_authenticate[3]). De gegeven reeks moet overeenkomen met de berekende reeks
precies, gegeven de geldende operationele parameters; Voorloopnullen zijn dat bijvoorbeeld wel
significant, evenals de weergaveradix en het aantal effectieve OTP-cijfers. Als
synchronisatie succesvol is, zou de gebruiker zich moeten kunnen authenticeren met de volgende
wachtwoord dat door het apparaat is aangemaakt. Een uitgebreid zoekalgoritme dat gebruik maakt van toenemende
Er worden tellerwaarden gebruikt, met een compileertijdlimiet voor het maximale aantal
berekeningen. Het zoeken begint bij de momenteel opgeslagen tellerwaarde van de server, tenzij
één wordt verstrekt met behulp van -teller. Als dit niet lukt, kan deze operatie lang duren
voordat het eindigt; de gebruiker moet voor hulp contact opnemen met een beheerder.

Probeer in de TOTP-modus te bepalen hoe nauw de systeemklok is gesynchroniseerd
de klok van het token en geef het resultaat weer. Deze informatie kan worden gebruikt voor het bijwerken van de
tokenrecord van de gebruiker om slecht gesynchroniseerde klokken te compenseren of aan te passen
validatieparameters. De sleutel van het token en de naam van het digest-algoritme zijn
verkregen voor het tokenrecord dat erbij hoort gebruikersnaam, als het wordt gegeven; anders de sleutel
wordt gevraagd en het te gebruiken digest-algoritme wordt verkregen uit de opdracht
regel of standaard. Alleen het eerste wachtwoord is ingevoerd wachtwoordlijst is gebruikt. De
-top-tijdstap, -cijfers en -top-basis opties zijn effectief tijdens deze operatie.

-test
Voer enkele zelftests uit en sluit vervolgens af. Een afsluitstatus die niet nul is, betekent dat er een fout is opgetreden.

-top-show num
Geef een reeks TOTP-wachtwoorden weer met behulp van de parameters die momenteel van kracht zijn:
intervalgrootte (-top-tijdstap), aantal getallen (-cijfers), en basis (-baseren). De
De opgeslagen parameters van het account worden niet gewijzigd. Dit is vooral bedoeld voor het debuggen
praktische doeleinden.

Als een gebruikersnaam wordt verstrekt (deze moet aan een TOTP-apparaat zijn gekoppeld), de sleutel en
andere opgeslagen parameters van het account worden gebruikt, tenzij ze worden overschreven via de opdrachtregel
vlaggen. De volgorde van wachtwoorden voor num intervallen voor en na de huidige tijd,
samen met het wachtwoord voor de huidige tijd worden afgedrukt.

Zo nee gebruikersnaam wordt gegeven, vraagt ​​het programma om de sleutel (die wordt herhaald) en gebruikt
opdrachtregelvlaggen of standaardwaarden voor parameters. Vervolgens wordt het TOTP-wachtwoord verzonden
voor de huidige tijd telkens wanneer u op Return/Enter drukt. Het typen van EOF veroorzaakt onmiddellijk
beëindiging.

-valideren otp-waarde
If otp-waarde is het volgende verwachte eenmalige wachtwoord, retourneer een afsluitstatus van nul naar
duiden op succes; elke andere waarde duidt op een fout. Als gebruikersnaam is gegeven, parameters
voor validatie, inclusief de sleutel, worden van dat account verkregen, tenzij ze worden overschreven
de opdrachtregel. De status van de server wordt niet gewijzigd; Een HOTP-teller is dat bijvoorbeeld niet
geavanceerd. Als Nee gebruikersnaam wordt gegeven, de -modus flag moet worden gebruikt en de parameters
die voor die modus nodig is, moet worden opgegeven, inclusief een sleutel. Voor de HOTP-modus: een tellerwaarde
moet worden verstrekt. Voor de TOTP-modus zijn de opdrachtregelparameters hierbij van kracht
validatie. dacstoken zal testen of otp-waarde valideert tegen de parameters in
effect.

De volgende verandering vlaggen worden begrepen:

-allemaal
met -set en nee gebruikersnaam, pas de wijzigingen toe op allen rekeningen. Dit kan gebruikt worden
schakel bijvoorbeeld alle accounts in of uit. De -intoetsen en -buitensleutels vlaggen zijn
vereerd. Als er een fout optreedt, stopt de verwerking onmiddellijk, in welk geval slechts enkele
rekeningen zijn mogelijk gewijzigd.

-baseren num
Te gebruiken num als basis (radix) bij het weergeven van een OTP. De waarde van num is beperkt tot
10 (de standaard), 16of 32.

-teller num
Dit is de 8-byte HOTP-tellerwaarde die moet worden ingesteld, uitgedrukt als een hexadecimale waarde indien voorafgegaan door
met "0x" (of "0X"), anders decimaal. Voorloopnullen mogen worden weggelaten. Dit impliceert HOTP
modus. Voor tokenapparaten mag het niet mogelijk zijn om een ​​teller (modulo counter
overflow) omdat dit ertoe zal leiden dat de wachtwoordreeks wordt herhaald, ervan uitgaande dat
dat de sleutel niet is gewijzigd; software-implementaties hebben deze beperking mogelijk niet,
Pas echter op voor de gevolgen voor de veiligheid.

-cijfers num
Te gebruiken num cijfers bij het weergeven van een OTP. De waarde van num is beperkt tot 6, 7, 8 (De
standaard), of 9 met basis 10. Het is beperkt tot: 6 met basis 32 en wordt genegeerd
baseren 16 (hexadecimale uitvoer).

-uitzetten
Schakel het account uit voor gebruikersnaam. De lokale_token_authenticate module, en -authenticatie en
-valideren vlaggen, zal de gebruiker niet toestaan ​​zich te authenticeren totdat het account is aangemaakt
ingeschakeld, hoewel er nog steeds andere bewerkingen op de account kunnen worden uitgevoerd. Als -inschakelen
vervolgens wordt gebruikt, wordt het account bruikbaar voor authenticatie en is
hersteld in de staat op het moment dat deze werd uitgeschakeld. Het is geen fout om een
account al uitgeschakeld.

-inschakelen
Schakel het account in voor gebruikersnaam. De lokale_token_authenticate module zal de
gebruiker om te authenticeren. Het is geen fout om een ​​reeds ingeschakeld account in te schakelen.

-hotp-venster num
Als het verwachte HOTP-wachtwoord niet overeenkomt met het opgegeven wachtwoord, probeer het dan te matchen
num wachtwoorden na het verwachte wachtwoord in de reeks. Een waarde van nul voor num
schakelt deze zoekopdracht uit.

-intoetsen type voorwerp
Gebruik voor het ontsleutelen van geheime sleutels de winkel die wordt geïdentificeerd door type voorwerp, vermoedelijk
geconfigureerd in dacs.conf.

-sleutel sleutelval
Te gebruiken sleutelval als de geheime sleutel, uitgedrukt als een hexadecimale reeks cijfers.

Security
Het opgeven van een sleutel op de opdrachtregel is niet veilig, omdat deze voor u zichtbaar kan zijn
andere processen.

-sleutelbestand bestandsnaam
Lees de geheime sleutel, uitgedrukt als een hexadecimale reeks cijfers, uit bestandsnaam. Indien bestandsnaam is
"-", de sleutel wordt gelezen uit stdin.

-sleutel-prompt
Vraag om de geheime sleutel, uitgedrukt als een hexadecimale cijferreeks. De invoer wordt niet herhaald.

-modus otp-modus
Dit specificeert (niet hoofdlettergevoelig) het type token (de OTP-apparaatmodus) dat moet worden gebruikt
Met -set, -creërenen validatie- en synchronisatiebewerkingen. De otp-modus kan zijn
ofwel counter of hotp voor tellermodus, of time of totp voor tijdgebaseerde modus. Dit
vlag is vereist bij het aanmaken van een nieuw account.

-buitensleutels type voorwerp
Gebruik voor het coderen van geheime sleutels de winkel die wordt geïdentificeerd door type voorwerp, vermoedelijk gedefinieerd
in dacs.conf.

-Pin pinval
Te gebruiken pinval als de geheime pincode voor het account.

Security
Het opgeven van een pincode op de opdrachtregel is niet veilig, omdat deze voor u zichtbaar kan zijn
andere processen.

-pin-beperkingen str
In plaats van gebruiken WACHTWOORD_CONSTRAINTS[14], gebruik str (met dezelfde syntaxis en
semantiek) om de vereisten voor een pincode te beschrijven.

Note
Vereisten voor een pincode zijn van toepassing op pincodes die zijn verkregen via een opdrachtregelvlag en daarop
verkregen door importeren (met behulp van het attribuut "p"). Vereisten zijn dat niet
"met terugwerkende kracht", dus het wijzigen van de vereisten heeft geen invloed op de pincodes van
bestaande accounts of accounts importeren die eerder zijn geëxporteerd (met een
"ph"-attribuut).

-pin-bestand bestandsnaam
Lees de geheime pincode uit bestandsnaam. Indien bestandsnaam is "-", de pincode wordt gelezen uit stdin.

-pin-prompt
Vraag om de geheime pincode. De invoer wordt niet herhaald.

-nd
Gereserveerd voor toekomstig gebruik.

-zaad str
Gereserveerd voor toekomstig gebruik.

Serial str
Het serienummer, str, is een (zogenaamd) unieke identificatie die aan het token is toegewezen.
Deze optie wordt gebruikt met de -set, -creëren en -lijst vlaggen. Een serienummer
identificeert een specifiek OTP-apparaat en hoeft niet geheim te worden gehouden. De uniciteitseigenschap
wordt afgedwongen binnen een opslageenheid van het itemtype; dat wil zeggen, serienummers van alle HOTP
apparaten moeten uniek zijn, serienummers van alle TOTP-apparaten moeten uniek zijn, en als
accounts voor de twee apparaattypen worden gecombineerd, moeten alle serienummers van het apparaat hetzelfde zijn
uniek. Elke afdrukbare tekenreeks wordt geaccepteerd. Als een softwareclient genereert
wachtwoorden, kunt u het serienummer van het apparaat gebruiken of een passend beschrijvend nummer kiezen
tekenreeks die nog niet aan een apparaat is toegewezen.

Note
Een rechtsgebied dat zowel hardwaretokens als
Software-genererende clientapplicaties zouden moeten overwegen om een ​​geformaliseerde invoering te overwegen
naamgevingsschema voor de tokens. De beheerder kan bijvoorbeeld "-hw" toevoegen aan
het serienummer van de leverancier om het dacstoken serienummer. Voor software
tokens, kan de beheerder een dacstoken serienummer door toe te voegen
"-sw" naar het serienummer van de leverancier voor het apparaat.

-totp-delta num
Pas de basistijd aan met num intervallen (elk stapgrootte aantal seconden) wanneer
het berekenen van een TOTP. De num kan negatief, nul of positief zijn. Dit wordt gebruikt om te corrigeren
voor onvoldoende gesynchroniseerde klokken.

-top-drift nvensters
Voor TOTP gebruikt u een venstergrootte van nvensters (in termen van de intervalgrootte) voor
geldigmaking. Als nvensters is 0, moet de berekende TOTP-waarde overeenkomen met de opgegeven waarde
precies. Als nvensters is 1Bijvoorbeeld dacstoken zal proberen de gegeven TOTP te evenaren
waarde in de vorige, huidige en volgende intervallen. Hierdoor kunnen de klokken in de
systeem draait dacstoken (of lokale_token_authenticate) en tokenproducerend apparaat naar
minder goed gesynchroniseerd zijn.

Security
Hoewel het slecht gesynchroniseerde klokken compenseert, verhoogt het de waarde van
nvensters verzwakt het systeem door de levensduur van een eenmalig wachtwoord te verlengen.

-totp-hasj alg
Te gebruiken alg als het digest-algoritme met TOTP. De waarde van alg is beperkt tot (geval
ongevoelig) SHA1 (de standaard), SHA256 of SHA512.

-top-tijdstap secs
Te gebruiken secs als de intervalgrootte bij het berekenen van een TOTP. Het moet groter zijn dan nul. De
standaard is 30 seconden.

Security
Hoewel het slecht gesynchroniseerde klokken compenseert, verhoogt het de waarde van
secs verzwakt het systeem door de levensduur van een eenmalig wachtwoord te verlengen.

-vfs vfs_uri
Te gebruiken vfs_uri het overschrijven VFS[33] configuratierichtlijn van kracht. Dit kan zijn
gebruikt om auth_token, auth_hotp_token of auth_totp_token te configureren of opnieuw te configureren
specificeer de opslagmethode voor de accounts waarop actie wordt ondernomen.

Afgezien van foutmeldingen, die volgens de standaardfout worden afgedrukt, gaat alle uitvoer naar de
standaard uitvoer.

Gewoonlijk, een optie zal worden gespecificeerd om de jurisdictie namens welke te selecteren
rekeningen worden beheerd.

Voorbeelden

In deze voorbeelden wordt ervan uitgegaan dat de te gebruiken jurisdictienaam EXAMPLE en de bijbehorende federatie is
domein is voorbeeld.com.

Om deze authenticatiemethode te gebruiken, a DACS beheerder kan de volgende stappen uitvoeren
voor elk OTP-apparaat dat aan een gebruiker is toegewezen:

1. Verkrijg een ondersteund token, bekijk hoe het wordt gebruikt voor authenticatie en selecteer waarden
voor de verschillende parameters. Vraag de geheime sleutel voor het apparaat op bij de leverancier; voor
een programmeerbaar apparaat, selecteer een geschikte willekeurige sleutel en programmeer deze in het apparaat.
De huidige tellerwaarden kunnen ook worden verkregen van de leverancier, hoewel dit wel het geval is
waarschijnlijk geïnitialiseerd op nul; voor een programmeerbaar apparaat stelt u de tellerwaarde in op
nul. Bepaal of een pincode vereist is (zie TOKEN_REQUIRES_PIN[9]). Als een software
client wordt gebruikt, installeert u de software op het apparaat van de gebruiker (of laat u dit door de gebruiker doen).
dus) en configureer de software.

2. Bepaal waar de accountgegevens worden opgeslagen en voeg indien nodig een geschikt account toe
VFS[33] richtlijn naar dacs.conf. De standaardinstelling (te vinden in site.conf) onderhoudt het account
informatie in een bestand met de naam auth_tokens binnen de standaard private van elk rechtsgebied
Oppervlakte:

VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"

3. Genereer sleutels om de accountinformatie te coderen (zie tokens en geheim toetsen[34]) en
beslissen waar ze worden opgeslagen; bijvoorbeeld (uw gebruikers-ID, groeps-ID, pad,
jurisdictienaam en federatiedomein kunnen variëren):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj VOORBEELD -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

Voeg indien nodig een geschikt toe VFS[33] richtlijn naar dacs.conf; de standaard, namelijk
hierboven gebruikt, bewaart de accountinformatie in een bestand met de naam auth_token_keys binnenin
het standaard privégebied van elk rechtsgebied:

VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"

4. Als u gebruikers nodig heeft om zich aan te melden dacs_authenticeren(8)[2], moet u een configureren
geschikte Auth-clausule in dacs.conf, bijvoorbeeld:


URL "token"
STIJL "pas"
CONTROLE "voldoende"


5. Er zijn verschillende manieren waarop een beheerder te werk kan gaan, afhankelijk van hoeveel
de inspanning kan door gebruikers worden gedaan (bijvoorbeeld of ze te vertrouwen zijn, hun technische
mogelijkheden), hoeveel gebruikers er zijn (een paar of duizenden) en het beveiligingsniveau
vereist.

1. bereid een bestand voor met een XML record[35] voor elk aan te maken account; als
Er moeten pincodes worden gebruikt. Wijs aan elk account een willekeurige pincode toe;

2. gebruik de -importeren[36] vlag om de accounts aan te maken;

3. geef het tokenapparaat, de gebruikersnaam en (indien nodig) de initiële pincode aan de gebruiker
(misschien identiteit verifiëren), het verstrekken van de nodige demonstraties en
instructies;

4. laat de gebruiker de pincode voor het account instellen of opnieuw instellen en vraag de gebruiker zich aan te melden
het token gebruiken om de juiste werking te bevestigen.

Om een ​​uitgeschakeld account aan te maken voor gebruiker bobo voor een HOTP-apparaat:

% dacstoken -uj VOORBEELD -mode hotp -serial 37000752 -key-file bobo.key -create bobo

De geheime sleutel voor het account (die nog niet mag bestaan) wordt uit het bestand gelezen
bobo.sleutel. Nieuwe accounts zijn standaard uitgeschakeld; gebruik -inschakelen om een ​​ingeschakeld account aan te maken.

Zodra een account is aangemaakt, kan deze worden gesynchroniseerd met het token. Om te synchroniseren
het HOTP-token voor gebruiker bobo:

% dacstoken -uj VOORBEELD -sync 433268,894121,615120 bobo

In dit voorbeeld produceerde het specifieke token de drie opeenvolgende wachtwoorden 433268,
894121 en 615120. Houd er rekening mee dat de wachtwoordreeksreeks die volgt op de -synchroniseren vlag is
een enkel argument dat geen ingebedde spaties mag bevatten. Als de sleutel voor dit token is
19c0a3519a89b4a8034c5b9306db, het volgende wachtwoord dat door dit token wordt gegenereerd, moet 544323 zijn
(met tegenwaarde 13). Dit kan worden geverifieerd met behulp van -hotp-show:

% dacstoken -hotp-show 5 -teller 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442

Om het account voor gebruiker bobo in te schakelen:

% dacstoken -uj VOORBEELD -enable -set bobo

Om zowel de pincode in te stellen als het account voor gebruiker Bobo in te schakelen:

% dacstoken -uj VOORBEELD -enable -pin "CzAy" -set bobo

Om alle accounts in detail weer te geven:

% dacstoken -uj VOORBEELD -lang

De -lijst flag is overbodig omdat dit de standaardbewerking is. De -modus, -teller, Etc.
modifiers hebben geen effect bij het vermelden.

Om alleen het account voor bobo weer te geven:

% dacstoken -uj VOORBEELD -lijst bobo

De afsluitstatus is niet nul als deze gebruiker geen account heeft.

Om het account voor het apparaat met serienummer 37000752 weer te geven:

% dacstoken -uj VOORBEELD -serienummer 37000752

Het serienummer, dat een token uniek moet identificeren, wordt vaak op het token afgedrukt
of kan worden weergegeven door het token.

Om de tellerwaarde voor het bestaande account van bobo in te stellen:

% dacstoken -uj VOORBEELD -teller 9 -set bobo

Deze bewerking kan worden gebruikt voor testen of met een softwaretoken. De -synchroniseren operatie is
meer geschikt voor een hardwaretoken.

Om de pincode voor gebruikersnaam bobo te wijzigen:

% dacstoken -uj VOORBEELD -pin-prompt -set bobo

Het programma vraagt ​​om de nieuwe pincode.

Om een ​​alternatief accountbestand te gebruiken, /secure/auth_tokens:

% dacstoken -uj VOORBEELD -vfs "dacs-kwv-fs:/secure/auth_tokens" -lijst

Om nieuwe sleutels te gebruiken (met dezelfde aannames als eerder), voegt u een geschikte VFS-richtlijn toe
dacs.conf; de standaard definieert het itemtype auth_token_keys_prev als volgt:

VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj VOORBEELD -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj VOORBEELD -inkeys auth_token_keys.prev -set

DIAGNOSE

Het programma verlaat 0, of 1 als er een fout is opgetreden.

Gebruik dacstoken online met behulp van onworks.net-services