Jest to polecenie dacstoken, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
dacstoken - administruj hasłami jednorazowymi opartymi na hashowaniu
STRESZCZENIE
dacstoken [dacopcje[1]] [-wszystko] [-baza num] [-licznik num] [-cyfry num]
[-wyłączyć | -włączyć] [-okno-hotp num] [-klucze typ przedmiotu]
[[-klawisz klucz] | [-plik-klucza filename] | [-klucz-monit]] [-tryb tryb otp]
[- klucze wyjściowe typ przedmiotu]
[[-Pin pinval] | [-pin-plik filename] | [-przypnij-monit]] [-ograniczenia pinów str]
[-nd] [-nasionko str] [-seryjny str] [-totp-delta num] [-top-dryf nWindows]
[-totp-hash ALG]
[-top-timestep suchy] [-vfs vfs_uri] [specyfikacja op] [nazwa użytkownika]
OPIS
Ten program jest częścią DAC na.
Połączenia dacstoken administruje użytecznością DAC konta powiązane z hasłem jednorazowym (OTP)
urządzenia generujące (tokeny) lub klientów opartych na oprogramowaniu. Używając opcji wiersza poleceń, to również
oblicza wartości OTP; parametry konta tokena można nadpisać, ale konta nie są równe
wymagane.
Silne uwierzytelnianie dwuskładnikowe można zapewnić, gdy dacs_authenticate[2] jest skonfigurowany
używać local_token_authenticate[3] moduł uwierzytelniania lub kiedy dacstoken jest używany jako
samodzielny program do sprawdzania poprawności haseł. Zarówno tryb hasła jednorazowego oparty na HMAC
(HOTP), oparty na liczniku zdarzeń i określony przez RFC 4226[4] oraz oparte na czasie
tryb hasła jednorazowego (TOTP), określony przez firmy IETF Projekt internetowy[5] propozycja,
są obsługiwane. Dodatkowy operacyjny Tryby[6] o nazwie OCRA (PRZYSIĘGA Wyzwanie-odpowiedź
Algorytmy), opisane w IETF Internet-Draft, nie są jeszcze w pełni obsługiwane.
Note
Ta wersja dacstoken zawiera wiele zmian, które nie są kompatybilne wstecz
z wersją 1.4.24a i wcześniejszą. Niektóre flagi wiersza poleceń działają inaczej i
zmienił się format pliku konta. Jeśli użyłeś tego polecenia wcześniej
wydaniach, wykonaj kopię zapasową pliku konta tokena i przejrzyj tę instrukcję
uważnie przejrzyj stronę przed kontynuowaniem (zwróć uwagę na -konwertować flaga[7] w szczególności).
Ważny
Nie jest wymagane żadne oprogramowanie dostarczane przez producenta dacstoken zapewnić jego funkcjonalność. The
obecnie obsługiwane urządzenia nie wymagają żadnej rejestracji ani konfiguracji
z dostawcami i dacstoken robi nie interakcji w sprzedawcy serwery or posługiwać się każdy
własność oprogramowanie. Do działania może być wymagane oprogramowanie dostarczone przez dostawcę
inicjalizacja lub konfiguracja dla innych urządzeń tokenowych, jednak i dacstoken robi
nie udzielać im takiego wsparcia.
Każde urządzenie tokena zasadniczo odpowiada dokładnie jednemu kontu zarządzanemu przez
dacstoken, chociaż niektórzy dostawcy produkują tokeny, które mogą obsługiwać wiele kont.
Podsumowując, to narzędzie:
· tworzy i administruje DAC konta powiązane z kontem licznikowym i czasowym
hasła jednorazowe
· zapewnia funkcjonalność walidacji i testowania
· zapewnia możliwość uwierzytelniania wiersza poleceń
Bezpieczeństwo
Tylko DAC administrator powinien mieć możliwość pomyślnego uruchomienia tego programu z poziomu
wiersz poleceń. Ponieważ DAC klucze i pliki konfiguracyjne, w tym plik używany do
Konta sklepowe muszą być ograniczone do administratora, zwykle będzie to administrator
przypadku, ale ostrożny administrator ustawi uprawnienia do plików, aby odmówić dostępu wszystkim
inni użytkownicy.
Note
Połączenia dacs_token(8)[8] serwis internetowy zapewnia użytkownikom ograniczoną samoobsługę
funkcjonalność ustawiania lub resetowania kodu PIN do konta oraz synchronizacji tokena. To również
posiada tryb demonstracyjny, który upraszcza testowanie i ocenę.
PIN-y (Konto Hasła)
A dacstoken Konto może opcjonalnie mieć powiązany kod PIN (tj. hasło). Do
uwierzytelnić na takim koncie, użytkownik musi podać wytworzone hasło jednorazowe
na znak i Pinezka. The TOKEN_REQUIRES_PIN[9] określa dyrektywa konfiguracyjna
czy podczas zakładania lub importowania konta należy podać PIN; nie obowiązuje w
w połączeniu z -delpin flagę, ponieważ tylko administrator powinien być w stanie wykonać
ta funkcja.
Skrót kodu PIN jest przechowywany w rekordzie konta, a nie sam kod PIN. Ten sam
metoda używana przez dacspasswd(1)[10] i dacs_passwd(8)[11] ma zastosowanie i zależy od
HASŁO_DIGEST[12] i HASŁO_SALT_PREFIX[13] obowiązujące dyrektywy. Jeśli
HASŁO_DIGEST[12] jest skonfigurowany, ten algorytm jest używany, w przeciwnym razie czas kompilacji
używana jest wartość domyślna (SHA1). Jeśli użytkownik zapomni PIN, starego nie będzie można odzyskać, więc
należy usunąć lub ustawić nowy.
Niektóre urządzenia z tokenami mają wbudowaną funkcję kodu PIN. Użytkownik musi wprowadzić kod PIN
urządzenia, zanim urządzenie wyemituje hasło jednorazowe. Ten „PIN urządzenia” jest
całkowicie różny od kodu PIN do konta, którym zarządza dacstoken, a ta instrukcja jest
dotyczy tylko dacstoken SZPILKA. Zawsze, gdy to możliwe, należy używać kodu PIN urządzenia;
dotychczasowy dacstoken Kod PIN jest zdecydowanie zalecany i jest wymagany do uwierzytelniania dwuskładnikowego
(chyba że dodatkowy czynnik uwierzytelniający jest stosowany w inny sposób).
Ponieważ tylko administrator może uruchamiać to polecenie, nie ma żadnych ograniczeń
od długości lub jakości kodów PIN dostarczonych przez administratora; komunikat ostrzegawczy
zostanie wyemitowany, jeśli hasło zostanie uznane za słabe zgodnie z ustaleniami
HASŁO_OGRANICZENIA[14] dyrektywy.
Jeden raz hasła
Oba rodzaje urządzeń z jednorazowym hasłem obliczają wartość hasła za pomocą bezpiecznego
algorytm skrótu z kluczem (RFC 2104[15], FIPSy 198[16]). W metodzie licznikowej urządzenie
i serwer współdzielą tajny klucz i wartość licznika, które są mieszane w celu uzyskania wartości liczbowej
wartość wyświetlana w określonej podstawie z określoną liczbą cyfr. Udany
uwierzytelnianie wymaga, aby urządzenie i serwer obliczały pasujące hasła. Za każdym razem
urządzenie generuje hasło, zwiększa swój licznik. Gdy serwer otrzyma dopasowanie
hasło, zwiększa swój licznik. Ponieważ możliwe jest, aby dwa liczniki stały się
niezsynchronizowane, algorytm dopasowujący serwera zazwyczaj dopuszcza hasło klienta
mieścić się w „oknie” wartości licznika. Metoda oparta na czasie jest podobna, główna
różnica polega na tym, że bieżący czas Unix (zwrócony przez czas(3)[17], na przykład) jest
służy do ustanowienia „okna kroku czasowego”, które służy jako wartość licznika w obliczeniach
bezpiecznego skrótu. Ponieważ zegary czasu rzeczywistego na urządzeniu i serwerze mogą nie być
wystarczająco zsynchronizowany, algorytm dopasowujący serwera musi również umożliwiać algorytm klienta
hasło mieści się w określonej liczbie przedziałów czasowych dla tych urządzeń.
Bezpieczeństwo
Tokenowi może zostać przypisany stały tajny klucz (czasami nazywany ziarnem OTP).
producenta lub klucz może być programowalny. Ten tajny klucz jest używany przez tokena
procedurę generowania hasła i bardzo ważne jest, aby było ono prywatne. Jeśli token
nie jest programowalny, klucz jest uzyskiwany od dostawcy (zwykle dla tokena HOTP
poprzez podanie numeru seryjnego urządzenia oraz dowolnych trzech kolejnych haseł). Nagranie
każdego odwzorowania numeru seryjnego na tajny klucz należy przechowywać w bezpiecznym miejscu.
Jeśli tajny klucz jest programowalny, co prawdopodobnie ma miejsce w przypadku oprogramowania klienckiego, to jest
wymagane jest co najmniej 128 długość bitów; minimum 160 Bity jest polecany. Plik
key jest reprezentowany przez ciąg szesnastkowy o długości 16 (lub więcej) znaków. Klucz powinien
być uzyskane ze źródła losowych bitów o jakości kryptograficznej. Niektórzy klienci mogą być
w stanie wygenerować odpowiedni klucz, ale możesz użyć dacspr(1)[18]:
% dacsexpr -e "losowy(łańcuch znaków, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Wskazówka
Tokeny mogą być używane do celów uwierzytelniania innych niż logowanie do komputera. Dla
na przykład, podając numer konta, kod PIN i wartość tokena, klienci mogą szybko
być uwierzytelniane przez telefon, zmniejszając lub eliminując konieczność stosowania drogich i
czasochłonne pytania bezpieczeństwa.
Urządzenia i aplikacje z hasłem jednorazowym mają następujące parametry operacyjne.
Te parametry określają generowaną sekwencję haseł. Niektóre operacyjne
parametry mogą być ustalone (przez odpowiednią normę lub w wyniku wdrożenia), natomiast
inne mogą być częściowo lub całkowicie konfigurowalne przez użytkownika. Proszę odnieść się do
szczegóły w referencjach i dokumentacji producentów.
baza
Podstawa, w której wyświetlane są hasła.
licznik
Tylko dla trybu HOTP, bieżąca wartość licznika.
cyfry
Liczba cyfr w każdym haśle jednorazowym.
klucz
Tajny klucz (ziarno OTP).
Numer seryjny
Unikalny identyfikator lub nazwa urządzenia.
rozmiar kroku czasowego
Tylko w trybie TOTP szerokość każdego przedziału czasu w sekundach. To samo hasło
zostanie wygenerowany w zadanym przedziale; tj. jest to „okres życia” lub ważność
okres ważności każdego hasła TOTP.
Oprócz tych parametrów dacstoken zatrudnia kilka na konto (tj. na urządzenie)
parametry:
okno akceptacji
Podczas sprawdzania poprawności hasła HOTP maksymalna liczba haseł, które należy wziąć pod uwagę po
oczekiwane hasło.
dryfować
Tylko w trybie TOTP, liczba sekund, o którą należy ustawić zegar serwera
do przodu lub do tyłu, aby lepiej zsynchronizować go z urządzeniem. Jest to przyzwyczajone
zrekompensować tokeny lub oprogramowanie klienckie, z którym zegary nie są dobrze zsynchronizowane
serwera.
okno dryfu
Tylko dla trybu TOTP, ale analogicznie do okna akceptacji, maksymalna liczba
interwały (każdy o wielkości kroku czasowego) do wyszukiwania do przodu i do tyłu podczas sprawdzania poprawności
przeciwko podanemu hasłu.
synchronizacja otps
Tylko w przypadku trybu HOTP: liczba kolejnych haseł jednorazowych wymaganych do
zsynchronizować konto z urządzeniem.
nazwa użytkownika
Nazwa DAC konto powiązane z urządzeniem.
Uwierzytelnianie w oparciu o hasła jednorazowe ma następujące zalety:
· Za każdym razem, gdy użytkownik się uwierzytelni, zostanie wygenerowane inne hasło (z wysokim
prawdopodobieństwo); użytkownicy nie mogą zatem zanotować „hasła”, ponieważ hasło jest
zawsze zmienia; użytkownicy nie mogą zapomnieć swojego hasła;
· Po użyciu hasło trybu HOTP jest natychmiast „konsumowane” i jest mało prawdopodobne, że zostanie użyte
znowu przez długi czas; z odpowiednimi parametrami konfiguracyjnymi, hasło trybu TOTP
automatycznie „wygasa” w stosunkowo krótkim przedziale czasu i jest mało prawdopodobne, że tak się stanie
używany ponownie przez długi czas;
· Jeśli nie jest wymagana korekcja dryftu zegara, konto w trybie TOTP może być tylko do odczytu
operacja;
· Ponieważ jest mało prawdopodobne, aby hasło było łatwą do odgadnięcia liczbą lub ciągiem znaków, powinno
być silniejsze niż większość haseł wybranych przez użytkownika;
· Token HOTP może być podstawą wzajemnej („dwukierunkowej”) metody uwierzytelniania; the
server pokazuje użytkownikowi następne hasło jego tokena, aby potwierdzić jego tożsamość (z obu
strony przesuwające swoje liczniki), wówczas klient pokazuje serwerowi kolejne hasło
potwierdzić swoją tożsamość;
· Jeśli na komputerze użytkownika jest zainstalowany sniffer kluczy, przechwycone hasło nie
zrobić atakującemu coś dobrego, chyba że a człowiek w środku atakować[19] jest możliwe; dany N
kolejnych haseł, nadal bardzo trudno jest obliczyć hasło N + 1 bez
znając tajny klucz;
· Użytkownikom trudniej jest współdzielić konto (chociaż czasami użytkownicy mogą
postrzegać to jako niedogodność);
· Jeśli dacstoken Kod PIN jest przypisywany do konta, a osoba atakująca uzyskuje numer konta
token, atakującemu nadal trudno jest uwierzytelnić się bez znajomości kodu PIN;
· Szybkim i natychmiast skutecznym sposobem wyłączenia konta jest po prostu zajęcie konta
token sprzętowy (np. w przypadku zwolnienia pracownika), chociaż konto może zostać wyłączone przez
tym programem lub używając unieważnienie podstęp[20];
· W przypadku oprogramowania klienckiego działającego na urządzeniu mobilnym, takim jak telefon lub PDA,
użytkownicy już noszą ze sobą urządzenie; dostępni są wolni klienci, więc proszę
może nie wiązać się z dodatkowymi kosztami (należy pamiętać, że urządzenia mobilne mogą nie oferować tego samego
odporność na manipulacje, trwałość, poufność klucza, dokładność zegara itp. tokena sprzętowego).
Urządzenia z jednorazowym hasłem mają następujące potencjalne wady:
· Token sprzętowy wiąże się z jednorazowym wydatkiem (w zależności od wielkości zakupów,
możesz spodziewać się zapłaty 10-100 USD za sztukę) i istnieje możliwość, że będziesz musiał
wymienić zgubiony lub uszkodzony żeton lub baterię żetonu (niektóre jednostki mają
niewymienialna bateria, dzięki czemu po kilku latach są jednorazowego użytku);
· Początkowa konfiguracja jest nieco trudniejsza niż w przypadku innych metod uwierzytelniania
metody, a użytkownicy niezaznajomieni z urządzeniami będą musieli zostać o nich poinstruowani
posługiwać się;
· Chociaż zazwyczaj są dość małe (np. 5 cm x 2 cm x 1 cm) i można je przymocować
przy breloczku do kluczy lub smyczy lub trzymany w portfelu, użytkownicy mogą skrzywić się na myśl o konieczności noszenia tokena
wokół nich;
· Użytkownicy mogą zapomnieć o zabraniu ze sobą tokena lub zgubić token;
· Urządzenie mobilne (z oprogramowaniem klienckim) jest prawdopodobnie bardziej prawdopodobnym celem kradzieży
niż token sprzętowy (stąd dodatkowe znaczenie kodu PIN dla tego urządzenia);
· W przeciwieństwie do tokena sprzętowego, w którym klucz jest wypalany w sposób niedostępny, odporny na manipulacje
pamięci, klucz skonfigurowany w oprogramowaniu klienckim może być przez niego odczytywany
właściciel, umożliwiający współdzielenie konta;
· Wprowadzanie wartości początkowej o długości 40 znaków lub dłuższej w urządzeniu mobilnym może być frustrujące
i podatne na błędy;
· Gdy urządzenie TOTP wygeneruje hasło, nowe hasło nie może zostać wygenerowane do czasu
następne okno czasowe, wymagające od użytkownika odczekania 30 (lub ewentualnie 60) sekund (np.
w przypadku popełnienia błędu wpisu);
· Niektóre urządzenia są trudne do odczytania w warunkach słabego oświetlenia; użytkownicy starczowzroczni i inni
z wadami wzroku mogą mieć trudności z odczytaniem informacji na wyświetlaczu.
Konta
Konta zarządzane przez dacstoken są całkowicie oddzielone od kont używanych przez
local_passwd_authenticate[21] lub jakikolwiek inny DAC moduł uwierzytelniający.
Konta dla urządzeń HOTP i TOTP mogą być łączone lub przechowywane osobno. Jeśli wirtualny
filestore typ elementu auth_hotp_token jest zdefiniowany, jest używany tylko dla powiązanych kont
z tokenami HOTP. Podobnie, jeśli typem wirtualnego magazynu plików jest auth_totp_token
zdefiniowana, jest używana tylko dla kont powiązanych z tokenami TOTP. Jeśli któryś z typów pozycji jest
niezdefiniowane, konta są dostępne za pośrednictwem DACS wirtualny magazyn plików przy użyciu typu elementu
token_autoryzacji. Przyjmuje się, że uprawnienia do plików w bazach rachunków są takie, że wszystkie
dostęp jest ograniczony do administratora i local_token_authenticate.
Jeśli konta dla dwóch typów urządzeń są połączony, ponieważ każda nazwa użytkownika dla pliku
metoda uwierzytelniania musi być unikalna, jeśli dana osoba ma oba rodzaje tokenów, musi
przypisać różne nazwy użytkownika. Na przykład, jeśli Auggie ma jeden token HOTP i jeden
Token TOTP, pierwszy może odpowiadać nazwie użytkownika auggie-hotp, a drugi -
auggie-totp; formularz logowania może zawierać dane wejściowe w trybie urządzenia, które umożliwią Auggiemu
po prostu wpisz „auggie” w polu nazwy użytkownika i JavaScript, aby automatycznie dołączyć
odpowiedni sufiks na podstawie wybranego trybu urządzenia. Oczywista wada tego
konfiguracja polega na tym, że skutkuje dwoma różnymi DAC tożsamości tej samej osoby;
trzeba by o tym pamiętać, gdyby reguła kontroli dostępu wymagała identyfikacji Auggiego
wyraźnie. Jeśli oba tokeny powinny być mapowane na to samo DAC tożsamości, klauzula Auth może
usunąć sufiks po pomyślnym uwierzytelnieniu, ale wtedy zrobiłby to administrator
trzeba uważać na przypadek dwóch różnych Auggie, z których każdy używa innego typu urządzenia.
Konfigurowanie typów elementów auth_hotp_token i auth_totp_token (lub tylko jednego z nich
i auth_token) oddziela konta i umożliwia używanie tej samej nazwy użytkownika
oba rodzaje urządzeń. Auggie mógł zatem mieć zapis konta z tym samym
nazwa użytkownika dla obu typów urządzeń. To podejście wymaga określenia trybu urządzenia
gdy żądana jest operacja, aby można było użyć właściwego typu przedmiotu; to znaczy że
użytkownicy muszą wiedzieć, jakiego typu urządzenia używają (na przykład umieszczając na nim etykietę).
Zapoznaj się z ważnymi szczegółami dot DAC tożsamości[22].
Połączenia -vfs służy do konfigurowania lub rekonfigurowania typu elementu auth_token.
Tylko klucze, które spełniają wymagania dotyczące minimalnej długości klucza (16 bajtów) mogą być przechowywane z
informacje o koncie (np -zestaw or -import). W innych kontekstach wymaganiem jest
nieegzekwowane.
Tajny klucz jest szyfrowany przez dacstoken kiedy jest zapisywany do pliku konta. The
typ pozycji wirtualnego magazynu plików auth_token_keys identyfikuje klucze szyfrowania dla dacstoken
używać; the -klucze i - klucze wyjściowe flagi określają alternatywy (zob dacskey(1)[23]). jeśli
klucze szyfrujące zostaną utracone, tajne klucze są praktycznie nie do odzyskania.
Ważny
Jeśli atakujący odkryje tajny klucz, generuje użyteczne hasła bez posiadania
żeton nie będzie trudny. W przypadku przynajmniej niektórych tokenów sprzętowych klucz jest spalany
w urządzeniu i nie można go zmienić; w takim przypadku, jeśli klucz wycieknie z urządzenia
należy zniszczyć. W przypadku utraty tokena odpowiednie konto powinno zostać wyłączone.
W przypadku, gdy atakujący znajdzie zagubiony token lub odkryje tajny klucz, posiadający silny
Kod PIN powiązany z kontem utrudni atakującemu jego zdobycie
dostęp.
Ważny
· Ta metoda uwierzytelniania została przetestowana na następujących produktach OTP:
· Authenex Klucz 3600[24] token sprzętowy z hasłem jednorazowym (HOTP);
· Feicjan Technologies[25] Hasło jednorazowe OTP C100 i OTP C200 sprzętowe
tokeny dostarczone przez HyperSecu Informacja systemy[26]; I
· PRZYSIĘGA żeton[27] aplikacja autorstwa Archiego Cobbsa, która implementuje oba te rozwiązania
HOTP i TOTP na iPod Dotknąć, iPhone i iPad[28].
· Technologie Feitian i PRZYSIĘGA Lite[29] Aplikacja HOTP dla iPoda
Dotyk, iPhone i iPad.
Inni producenci zainteresowani wsparciem dla swoich produktów DAC jest
zapraszamy do kontaktu Dss.
· Zdjęcie[30]: Feitian OTP C200, iPod Touch z aplikacją OATH Token, Authenex A-Key
3600 (zgodnie z ruchem wskazówek zegara od lewego górnego rogu)
· Chociaż ta implementacja powinna działać tylko z podobnymi, zgodnymi produktami
te produkty są oficjalnie wspierane przez DAC.
· Tokeny sprzętowe można kupić bezpośrednio od dostawców.
· Wszelkie problemy z używaniem tokenów do uwierzytelniania DAC nie są
odpowiedzialność dostawcy tokena.
Importowanie i Eksportowanie OTP Konta
Opisy kont i ich tokenów można wczytać lub zrzucić (zob -import
i -eksport flagi). Upraszcza to zbiorcze udostępnianie, tworzenie kopii zapasowych i przenośność. The
informacje o koncie są zapisywane w prostym, specyficznym dla aplikacji (prawie) formacie XML.
Format rozumiany przez dacstoken składa się z elementu głównego („otp_tokens”), po którym następuje
zero lub więcej elementów „otp_token”, po jednym w wierszu, każdy z wymaganymi i opcjonalnymi
atrybuty (opisane poniżej). Deklarację XML należy pominąć. Wiodące spacje i
puste wiersze są ignorowane, podobnie jak jednowierszowe komentarze XML. Dodatkowo linie posiadające „#”
jako pierwszy znak niebędący białym znakiem są ignorowane. Atrybuty opcjonalne, które nie są
obecne mają przypisane wartości domyślne. Domyślnym algorytmem skrótu jest SHA1. Krótki atrybut
nazwy są używane w celu zaoszczędzenia miejsca. Nierozpoznane atrybuty i atrybuty nieistotne dla
trybie urządzenia są ignorowane. Pojedyncze lub podwójne cudzysłowy (lub oba) w atrybucie XML
wartości należy zastąpić odpowiednim odwołaniem do encji ("'" i """,
odpowiednio), podobnie jak znaki „<” (mniej niż) i „&” (ampersand). „>” (większy
niż) można opcjonalnie zastąpić sekwencją „>”, ale żadną inną jednostką
referencje są uznawane.
Uznane atrybuty to:
· B:
baza
-- podstawa dla wartości OTP
[Opcjonalny:
10 (Domyślne)
16lub 32]
· C:
licznik
-- bieżąca wartość licznika dla HOTP, w szesnastce, jeśli została poprzedzona
przez „0x” (lub „0X”), w przeciwnym razie dziesiętnie
[Opcjonalny:
wartość domyślna to 0]
· D:
OTP urządzenie tryb
-- „c” (dla HOTP)
lub „t” (dla TOTP)
[Wymagany]
· dn:
skrót-nazwa
-- jeden z algorytmów Secure Hash
[Opcjonalny:
SHA1 (domyślnie),
SHA224, SHA256,
SHA384, SHA512]
· dr:
dryf zegara
-- regulacja zegara w sekundach dla TOTP
[Opcjonalny]
· tak:
zaszyfrowany klucz
-- zaszyfrowany tajny klucz, kodowany base-64
[Wymagany:
Tylko rekordy konta OTP]
· pl:
status włączony
-- 1 dla włączonych,
0 dla niepełnosprawnych
[Wymagany]
· k:
klucz tekstowy
-- niezaszyfrowany tajny klucz
[Wymagany]
· lu:
Ostatnia aktualizacja
-- Uniksowy czas ostatniej aktualizacji rekordu
[Opcjonalnie: domyślnie jest to aktualny czas]
· drugie:
ncyfry
-- liczba cyfr dla wartości OTP
[Opcjonalny:
wartość domyślna to 6 dla HOTP,
8 dla TOTP]
· P:
kod PIN w postaci zwykłego tekstu
-- wartość PIN w postaci zwykłego tekstu dla konta
[Wymagany:
chyba że ph jest obecne,
tylko do importu]
· tel.:
zaszyfrowany kod PIN
-- zaszyfrowana wartość PIN do konta
[Opcjonalny:
wygenerowane przez dacstoken
tylko do eksportu i plików konta OTP]
· S:
numer seryjny
-- unikalny ciąg identyfikatora urządzenia
[Wymagany]
· t:
krok czasowy
-- wartość kroku czasowego w sekundach dla TOTP
[Opcjonalny:
wartość domyślna to 30]
· ty:
nazwa użytkownika
-- poprawny DAC nazwa użytkownika powiązana z tym kontem
[Wymagany]
W poniższym przykładzie opisano dwa konta, które można utworzyć przy użyciu -import Flaga:
Bezpieczeństwo
Ponieważ importowane rekordy zawierają niezaszyfrowane tajne klucze dla urządzeń OTP, plik
wyeksportowany plik powinien być zaszyfrowany (np openssl) lub przynajmniej mieć
odpowiednie uprawnienia do plików.
Note
Opracowywany jest standardowy format udostępniania urządzeń OTP. Ten format może być
zrozumiałe przez przyszłą wersję dacstoken, lub można napisać narzędzie do konwersji.
Standardowy format może być znacznie bardziej złożony niż format DAC Format.
OPCJE
Oprócz standardu dacopcje[1], znajduje się długa lista flag wiersza poleceń
rozpoznany. Kiedy nazwa użytkownika podane są wartości domyślne powiązane z tym kontem
używane, używane są inne zalecane lub specyficzne dla implementacji wartości domyślne. Te domyślne
wartości można zwykle przesłonić w wierszu poleceń. Niektóre flagi są dozwolone tylko z a
określony tryb tokena (np. -licznik, -totp-pokaz) a ich wygląd wskazuje na ten tryb,
robienie -tryb flaga niepotrzebna; inne flagi są niezależne od trybu (np. -kasować,
-włączyć). Błędem jest użycie wzajemnie niezgodnej kombinacji flag. Flagi, które są
bezsensowne z wybraną operacją są ignorowane, chociaż nadal implikują tryb.
W wartościach szesnastkowych nie jest rozróżniana wielkość liter. Jeśli wartość licznika jest wymagana, ale nieokreślona
(np. podczas tworzenia konta) używana jest początkowa wartość licznika równa zero.
Połączenia specyfikacja op określa operację do wykonania wraz z zerem lub większą liczbą modyfikator
flagi. Gdyby specyfikacja op brakuje, -lista operacja jest wykonywana. Jakiś specyfikacja op jest jednym z
Następujące:
-autentyk wartość otp
Ta flaga jest jak -uprawomocnić[31], z wyjątkiem:
· A nazwa użytkownika jest wymagany, z którego uzyskuje się wszystkie parametry (takie jak klucz);
· jeżeli konto posiada PIN, należy go podać;
· jeśli konto jest dla tokena HOTP, licznik zostanie zaktualizowany w przypadku uwierzytelnienia
zakończony powodzeniem.
Status wyjścia równy zero wskazuje na pomyślne uwierzytelnienie, podczas gdy dowolna inna wartość
oznacza, że uwierzytelnianie nie powiodło się.
-konwertować filename
Załaduj plik konta tokena w starszym formacie (przed wydaniem 1.4.25). filename („-”
oznacza odczyt ze stdin), przekonwertuj go na nowszy format i zapisz na stdout (as
by -eksport). Ta flaga jest przestarzała i ta funkcja zostanie usunięta w przyszłości
Uwolnienie DAC.
-Stwórz
Utwórz konto dla nazwa użytkownika, które nie muszą już istnieć. Pod innymi względami to
działa jak -zestaw[32]. Tworząc nowe konto, -seryjny jest wymagane i -klawisz is
ukryty. Jeśli nie -włączyć flaga jest podawana przy zakładaniu konta, -wyłączyć jest dorozumiana.
Jeśli nie -licznik podana jest flaga, używana jest domyślna wartość zero. Jeśli jedna z flag PIN jest
obecny, podany PIN zostanie przypisany do konta, w przeciwnym razie konto nie
posiadać PIN (lub dotychczasowy PIN nie zostanie zmieniony).
-obecny
Wyświetl bieżący współczynnik ruchu (tj. wartość licznika dla HOTP lub interwału
wartość dla TOTP) i oczekiwany OTP dla nazwa użytkownika. W przypadku HOTP licznik jest zaawansowany. Wszystko
parametry są pobierane z konta.
-kasować
Usuń konto dla nazwa użytkownika. Tajny klucz urządzenia i inne elementy operacyjne
parametry zostaną utracone.
-delpin
Usuń kod PIN, jeśli jest obecny, na koncie dla nazwa użytkownika, pozostawiając konto bez
KOŁEK.
-eksport
Napisz informacje o wszystkich kontach lub tylko jednym koncie, jeśli nazwa użytkownika jest dany, do
stdout. Jeśli jednak zostanie wybrany tryb, dostępne będą tylko konta z tym trybem
pisemny. Informacje te można ponownie załadować za pomocą -import or -importuj-wymień. Wyjście
powinny być przechowywane w postaci zaszyfrowanej lub przynajmniej mieć uprawnienia do ich plików
odpowiednio ustawić. Na przykład:
% dacstoken -uj PRZYKŁAD -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Później możesz zrobić coś takiego:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj PRZYKŁAD -import -
-h
-Pomoc
Wyświetl komunikat pomocy i wyjdź.
-hotp-pokaz num
Wyświetlacz num kolejne hasła HOTP z podanej wartości licznika i klucza. The
-licznik Flaga może służyć do określenia początkowej wartości licznika. Klucz może być
określone za pomocą -klawisz, -plik-kluczalub -klucz-monit. Jeśli nazwa użytkownika jest zapewniona,
początkowa wartość licznika i klucz są uzyskiwane z konta HOTP użytkownika, chyba że którykolwiek z tych przypadków
wartość jest nadpisywana w wierszu poleceń; przechowywana wartość licznika konta nie jest
zmodyfikowane. Jest to przeznaczone głównie do celów debugowania.
-import filename
-importuj-wymień filename
Załaduj informacje o koncie i tokenie z filename; Jeśli filename jest „-”, odczytywane jest standardowe wejście.
Jeśli wybrany jest tryb, odczytane zostaną tylko konta z tym trybem. Z -import to jest
błąd, jeśli zaimportowane konto już istnieje, a przetwarzanie zostaje zatrzymane; -importuj-wymień
zastąpi istniejące konto zaimportowanymi danymi.
-l
-lista
-długie
If nazwa użytkownika jest podany, wyświetl informacje o odpowiednim koncie; jeśli
-seryjny podana jest flaga, wyświetl informację o rachunku o podanym numerze seryjnym
numer; w przeciwnym razie wyświetl listę wszystkich kont. jeśli -tryb flaga jest podana w każdym z tych przypadków,
jednak wyświetl listę tylko tych rachunków, które mają określony tryb operacyjny. Jeśli to
powtarza się flaga lub z -długie flaga, wyświetla się więcej szczegółów: typ urządzenia,
stan konta, numer seryjny urządzenia, wartość licznika (dla HOTP), wartość dryftu zegara (dla
TOTP), czy konto ma kod PIN (oznaczony symbolem „+” lub „-”), oraz
czas i data ostatniej modyfikacji konta.
-Przemianować nowa-nazwa użytkownika
Zmień nazwę istniejącego konta na nazwa użytkownika być nowa-nazwa użytkownikai zmodyfikuj nowy
konto przy użyciu argumentów wiersza poleceń (jak z -zestaw[32]). Ponieważ wymaga to dwóch kroków
które nie są wykonywane atomowo, jeśli wystąpi błąd, nowe konto może to zrobić
zostać utworzone, a stare konto nadal będzie istnieć.
-zestaw
Połączenia -zestaw flaga służy do modyfikowania istniejącego konta dla nazwa użytkownika na podstawie jednego lub więcej
argumenty modyfikatora (-baza, -licznik, -cyfry, -wyłączyć or -włączyć, -klawisz (lub -plik-klucza
or -klucz-monit), -Pin (lub -pin-plik or -przypnij-monit), lub -seryjny). Tryb też może być
zmienione przez określenie -tryb, ale parametry specyficzne dla trybu powiązane z kontem
zostaną utracone (np. bieżąca wartość licznika zostanie usunięta, jeśli konto HOTP jest
zmienione na konto TOTP), a parametry ogólne (takie jak numer seryjny) zostaną zmienione
zachowane, chyba że zostaną nadpisane w wierszu poleceń.
-synchronizacja lista haseł
W trybie HOTP próbuje zsynchronizować serwer z tokenem dla nazwa użytkownika,
lista haseł to oddzielona przecinkami lista trzech kolejnych haseł utworzonych przez program
token użytkownika (ta funkcja „automatycznej synchronizacji” jest również dostępna przez
local_token_authenticate[3]). Podana sekwencja musi być zgodna z obliczoną sekwencją
dokładnie, biorąc pod uwagę obowiązujące parametry operacyjne; np. wiodące zera to
istotne, podobnie jak podstawa wyświetlania i liczba obowiązujących cyfr OTP. Jeśli
synchronizacja się powiedzie, użytkownik powinien mieć możliwość uwierzytelnienia przy użyciu następnego
hasło wygenerowane przez urządzenie. Wyczerpujący algorytm wyszukiwania wykorzystujący zwiększanie
używane są wartości licznika, z limitem czasu kompilacji dla maksymalnej liczby
obliczenia. Wyszukiwanie rozpoczyna się od aktualnie zapisanej wartości licznika serwera, chyba że
jeden jest dostarczany za pomocą -licznik. W przypadku niepowodzenia operacja ta może zająć dużo czasu
przed jego zakończeniem; użytkownik musi skontaktować się z administratorem w celu uzyskania pomocy.
W trybie TOTP spróbuj określić, jak ściśle zsynchronizowany jest zegar systemowy
zegar żetonu i wyświetl wynik. Informacje te mogą być wykorzystane do aktualizacji
rekord tokena użytkownika, aby zrekompensować słabo zsynchronizowane zegary lub dostosować
parametry walidacji. Klucz tokena i nazwa algorytmu skrótu to
uzyskany dla rekordu tokena należącego do nazwa użytkownika, jeśli jest podany; inaczej klucz
zostanie wyświetlony monit o podanie algorytmu skrótu, który ma zostać użyty, albo uzyskany z polecenia
linia lub domyślna. Tylko pierwsze hasło w lista haseł jest używany. The
-top-timestep, -cyfry, -totp-baza opcje są aktywne podczas tej operacji.
-test
Wykonaj kilka autotestów, a następnie wyjdź. Niezerowy status wyjścia oznacza, że wystąpił błąd.
-totp-pokaz num
Wyświetl sekwencję haseł TOTP przy użyciu aktualnie obowiązujących parametrów:
rozmiar interwału (-top-timestep), ilość cyfr (-cyfry) i podstawa (-baza).
zapisane parametry konta nie są modyfikowane. Jest to przeznaczone głównie do debugowania
celów.
Jeśli nazwa użytkownika jest podany (musi być powiązany z urządzeniem TOTP), klucz i
używane są inne zapisane parametry z konta, chyba że zostaną nadpisane przez wiersz poleceń
flagi. Sekwencja haseł do num interwały przed i po bieżącym czasie,
wraz z hasłem dla aktualnej godziny są drukowane.
Jeśli nie nazwa użytkownika jest podany, program pyta o klucz (który jest powtarzany) i używa
flagi wiersza poleceń lub wartości domyślne parametrów. Następnie emituje hasło TOTP
dla bieżącego czasu za każdym naciśnięciem Return/Enter. Wpisanie EOF powoduje natychmiastowe
zakończenie.
-uprawomocnić wartość otp
If wartość otp jest następnym oczekiwanym jednorazowym hasłem, zwróć status wyjścia równy zero do
wskazać sukces; każda inna wartość oznacza awarię. Jeśli nazwa użytkownika jest podany, parametry
do walidacji, w tym klucz, są uzyskiwane z tego konta, chyba że zostaną nadpisane
linia poleceń. Stan serwera nie ulega zmianie; np. licznik HOTP nie jest
zaawansowany. Jeśli nie nazwa użytkownika podano, -tryb należy użyć flagi i parametrów
wymagane dla tego trybu, w tym klucz. W trybie HOTP wartość licznika
musi być zapewnione. W trybie TOTP obowiązują w tym czasie parametry wiersza poleceń
uprawomocnienie. dacstoken przetestuje czy wartość otp sprawdza poprawność względem parametrów w
efekt.
Poniższy modyfikator flagi są zrozumiałe:
-wszystko
Z -zestaw i nie nazwa użytkownika, zastosuj zmiany do cała kolekcja konta. Można to wykorzystać
na przykład włączyć lub wyłączyć wszystkie konta. The -klucze i - klucze wyjściowe flagi są
zaszczycony. Jeśli wystąpi błąd, przetwarzanie zostanie natychmiast zatrzymane, w takim przypadku tylko niektóre
konta mogły zostać zmodyfikowane.
-baza num
Zastosowanie num jako podstawa (podstawa) podczas wyświetlania hasła jednorazowego. Wartość num jest ograniczony do
10 (domyślny), 16lub 32.
-licznik num
Jest to 8-bajtowa wartość licznika HOTP do ustawienia, wyrażona jako wartość szesnastkowa, jeśli jest poprzedzona przez
przez „0x” (lub „0X”), w przeciwnym razie dziesiętnie. Wiodące zera mogą być pomijane. Oznacza to HOTP
tryb. W przypadku urządzeń tokenowych nie powinno być możliwości zresetowania licznika (licznik modulo
overflow), ponieważ zakładając, że spowoduje to powtórzenie sekwencji hasła
że klucz nie jest zmieniony; implementacje oprogramowania mogą nie mieć tego ograniczenia,
należy jednak uważać na implikacje dla bezpieczeństwa.
-cyfry num
Zastosowanie num cyfr podczas wyświetlania hasła jednorazowego. Wartość num jest ograniczony do 6, 7, 8 (
domyślny) lub 9 z podstawą 10. Ogranicza się do 6 z podstawą 32 i jest ignorowany za pomocą
baza 16 (wyjście szesnastkowe).
-wyłączyć
Wyłącz konto dla nazwa użytkownika, local_token_authenticate moduł i -autentyk i
-uprawomocnić flagi, nie pozwoli użytkownikowi na uwierzytelnienie, dopóki konto nie zostanie
włączone, chociaż na koncie nadal można wykonywać inne operacje. Jeśli -włączyć
jest następnie używany, konto będzie nadawało się do uwierzytelnienia i jest
przywrócony do stanu z chwili wyłączenia. Wyłączenie pliku nie jest błędem
już wyłączone konto.
-włączyć
Włącz konto dla nazwa użytkownika, local_token_authenticate moduł pozwoli na
użytkownika do uwierzytelnienia. Włączenie już aktywnego konta nie jest błędem.
-okno-hotp num
Jeśli oczekiwane hasło HOTP nie pasuje do podanego hasła, spróbuj dopasować do
num hasła po oczekiwanym haśle w sekwencji. Wartość zero dla num
wyłącza to wyszukiwanie.
-klucze typ przedmiotu
Aby odszyfrować tajne klucze, użyj sklepu określonego przez typ przedmiotuprawdopodobnie
skonfigurowane w dacs.conf.
-klawisz klucz
Zastosowanie klucz jako tajny klucz, wyrażony jako ciąg cyfr szesnastkowych.
Bezpieczeństwo
Podanie klucza w wierszu poleceń nie jest bezpieczne, ponieważ może być widoczne dla użytkownika
inne procesy.
-plik-klucza filename
Przeczytaj tajny klucz, wyrażony jako ciąg cyfr szesnastkowych, z filename. Jeśli filename is
„-”, klucz jest odczytywany ze standardowego wejścia.
-klucz-monit
Monituj o tajny klucz, wyrażony jako ciąg cyfr szesnastkowych. Wejście nie jest powtarzane.
-tryb tryb otp
Określa (bez rozróżniania wielkości liter) typ tokena (tryb urządzenia OTP) do użycia
w -zestaw, -Stwórzoraz operacje sprawdzania poprawności i synchronizacji. The tryb otp może być
licznik lub hotp dla trybu licznika lub czas lub totp dla trybu opartego na czasie. Ten
flaga jest wymagana podczas tworzenia nowego konta.
- klucze wyjściowe typ przedmiotu
Do szyfrowania tajnych kluczy użyj magazynu określonego przez typ przedmiotu, przypuszczalnie określone
w dacs.conf.
-Pin pinval
Zastosowanie pinval jako tajny PIN do konta.
Bezpieczeństwo
Podanie kodu PIN w wierszu poleceń nie jest bezpieczne, ponieważ może być widoczne dla użytkownika
inne procesy.
-ograniczenia pinów str
Zamiast używać HASŁO_OGRANICZENIA[14], użyj str (o tej samej składni i
semantyka), aby opisać wymagania dotyczące kodu PIN.
Note
Wymagania dotyczące kodu PIN mają zastosowanie do kodów PIN uzyskanych za pomocą flagi wiersza poleceń i do tych
uzyskane w drodze importu (przy użyciu atrybutu „p”). Wymagania nie
„z mocą wsteczną”, jednak zmiana wymagań nie wpływa na kody PIN
istniejące konta lub importowanie kont, które zostały wcześniej wyeksportowane (posiadające a
atrybut „ph”).
-pin-plik filename
Przeczytaj tajny kod PIN z filename. Jeśli filename jest „-”, PIN jest odczytywany ze standardowego wejścia.
-przypnij-monit
Żądaj tajnego kodu PIN. Wejście nie jest powtarzane.
-nd
Zarezerwowane do wykorzystania w przyszłości.
-nasionko str
Zarezerwowane do wykorzystania w przyszłości.
-seryjny str
numer seryjny, str, to (rzekomo) unikalny identyfikator przypisany do tokena.
Ta opcja jest używana z -zestaw, -Stwórz, -lista flagi. Numer seryjny
identyfikuje konkretne urządzenie OTP i nie musi być utrzymywane w tajemnicy. Właściwość wyjątkowości
jest egzekwowany w ramach jednostki magazynowej typu pozycji; czyli numery seryjne wszystkich HOTP
urządzenia muszą być unikalne, numery seryjne wszystkich urządzeń TOTP muszą być unikalne i jeśli
konta dla dwóch typów urządzeń są połączone, wszystkie numery seryjne urządzeń muszą być
unikalny. Akceptowany jest dowolny ciąg znaków, który można wydrukować. Jeśli generuje klient oprogramowania
hasła, możesz użyć numeru seryjnego urządzenia lub wybrać dowolny odpowiedni opis
ciąg znaków, który nie jest jeszcze przypisany do urządzenia.
Note
Jurysdykcja, która zezwala (lub może ostatecznie zezwolić) zarówno na tokeny sprzętowe, jak i
aplikacje klienckie generujące oprogramowanie powinny rozważyć przyjęcie sformalizowanego
schemat nazewnictwa dla swoich tokenów. Na przykład administrator może dodać „-hw” do
numer seryjny dostawcy w celu utworzenia dacstoken numer seryjny. Dla oprogramowania
tokeny, administrator może utworzyć plik dacstoken numer seryjny poprzez dołączenie
„-sw” do numeru seryjnego dostawcy urządzenia.
-totp-delta num
Dostosuj czas bazowy o num interwały (każdy z liczby kroków wielkości sekund), kiedy
obliczanie TOTP. The num może być ujemna, zerowa lub dodatnia. Służy do korygowania
za źle zsynchronizowane zegary.
-top-dryf nWindows
W przypadku TOTP użyj rozmiaru okna nWindows (pod względem wielkości interwału) dla
walidacja. Jeśli nWindows is 0, obliczona wartość TOTP musi być zgodna z podaną
Dokładnie. Jeśli nWindows is 1Na przykład, dacstoken spróbuje dopasować podany TOTP
wartość w poprzednim, bieżącym i następnym interwale. Dzięki temu zegary w
system działa dacstoken (lub local_token_authenticate) i urządzenie do produkcji żetonów
być gorzej zsynchronizowane.
Bezpieczeństwo
Chociaż rekompensuje to źle zsynchronizowane zegary, zwiększając wartość
nWindows osłabia system wydłużając żywotność hasła jednorazowego.
-totp-hash ALG
Zastosowanie ALG jako algorytm skrótu z TOTP. Wartość ALG ogranicza się do (przypadek
niewrażliwie) SHA1 (domyślnie), SHA256 lub SHA512.
-top-timestep suchy
Zastosowanie suchy jako rozmiar interwału podczas obliczania TOTP. Musi być większa od zera. The
wartość domyślna to 30 towary drugiej jakości.
Bezpieczeństwo
Chociaż rekompensuje to źle zsynchronizowane zegary, zwiększając wartość
suchy osłabia system wydłużając żywotność hasła jednorazowego.
-vfs vfs_uri
Zastosowanie vfs_uri zastąpić VFS[33] obowiązująca dyrektywa konfiguracyjna. To może być
używany do konfigurowania lub rekonfigurowania auth_token, auth_hotp_token lub auth_totp_token do
określić sposób przechowywania rachunków, na których wykonywane są czynności.
Oprócz komunikatów o błędach, które są drukowane do błędu standardowego, wszystkie dane wyjściowe trafiają do
standardowe wyjście.
Zwykle dacsopcja zostaną określone, aby wybrać jurysdykcję, w imieniu której
konta są zarządzane.
PRZYKŁADY
W tych przykładach przyjęto założenie, że nazwa jurysdykcji, której należy użyć, to EXAMPLE i jej federacja
domena to przyklad.com.
Aby użyć tej metody uwierzytelniania, a DAC administrator może wykonać następujące czynności
dla każdego urządzenia OTP przypisanego do użytkownika:
1. Uzyskaj obsługiwany token, sprawdź, w jaki sposób jest on używany do uwierzytelniania i wybierz wartości
dla różnych parametrów. Uzyskaj od sprzedawcy tajny klucz urządzenia; Do
programowalnego urządzenia, wybierz odpowiedni losowy klucz i zaprogramuj go w urządzeniu.
Bieżące wartości liczników można również uzyskać od dostawcy, chociaż tak jest
prawdopodobnie zainicjowany na zero; w przypadku urządzenia programowalnego ustaw wartość licznika na
zero. Zdecyduj, czy kod PIN będzie wymagany (zob TOKEN_REQUIRES_PIN[9]). Jeśli oprogramowanie
używany jest klient, zainstaluj oprogramowanie na urządzeniu użytkownika (lub poproś użytkownika o zrobienie tego
tak) i skonfiguruj oprogramowanie.
2. Zdecyduj, gdzie będą przechowywane informacje o koncie i, jeśli to konieczne, dodaj odpowiedni
VFS[33] dyrektywa do dacs.conf. Domyślnie (znalezione w site.conf) utrzymuje konto
informacje w pliku o nazwie auth_tokens w ramach domyślnego pliku private każdej jurysdykcji
powierzchnia:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURYSDICTION_NAME}/auth_tokens"
3. Wygeneruj klucze do zaszyfrowania informacji o koncie (patrz Żetony i tajemnica Klawisze[34]) i
zdecydować, gdzie będą przechowywane; na przykład (identyfikator użytkownika, identyfikator grupy, ścieżka,
nazwa jurysdykcji i domena federacji mogą się różnić):
% cd /usr/local/dacs/federations_root/example.com/PRZYKŁAD
% dacskey -uj PRZYKŁAD -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
W razie potrzeby dodaj odpowiedni VFS[33] dyrektywa do dacs.conf; domyślny, czyli tzw
użyte powyżej, przechowuje informacje o koncie w pliku o nazwie auth_token_keys wewnątrz
domyślny obszar prywatny każdej jurysdykcji:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURYSDICTION_NAME}/auth_token_keys"
4. Jeśli potrzebujesz użytkowników do logowania się dacs_authenticate(8)[2], musisz skonfigurować a
odpowiednia klauzula Auth w dacs.conf, na przykład:
adres URL „token”
STYL „pas”
KONTROLA „wystarczająca”
5. Administrator może postępować na kilka sposobów, w zależności od tego, ile
wysiłek mogą wykonać użytkownicy (np. czy można im zaufać, ich techniczne
możliwości), ilu jest użytkowników (kilka lub tysiące) oraz poziom bezpieczeństwa
wymagane.
1. przygotuj plik zawierający XML rekord[35] dla każdego tworzonego konta; Jeśli
PIN-y mają być używane, przypisz losowy PIN do każdego konta;
2. użyj -import[36] flaga do tworzenia kont;
3. podać użytkownikowi urządzenie tokenowe, nazwę użytkownika oraz (jeśli to konieczne) początkowy PIN
(być może weryfikując tożsamość), zapewniając wszelkie niezbędne demonstracje i
instrukcje;
4. poproś użytkownika o ustawienie lub zresetowanie kodu PIN do konta i poproś użytkownika o zalogowanie się
za pomocą tokena potwierdzić poprawność działania.
Aby utworzyć wyłączone konto dla użytkownika bobo dla urządzenia HOTP:
% dacstoken -uj PRZYKŁAD -mode hotp -serial 37000752 -key-file bobo.key -create bobo
Tajny klucz konta (który nie może już istnieć) jest odczytywany z pliku
bobo.klawisz. Nowe konta są domyślnie wyłączone; używać -włączyć aby utworzyć aktywne konto.
Po utworzeniu konta można je zsynchronizować z tokenem. Aby zsynchronizować
token HOTP dla użytkownika bobo:
% dacstoken -uj PRZYKŁAD -sync 433268,894121,615120 bobo
W tym przykładzie konkretny token wygenerował trzy kolejne hasła 433268,
894121 i 615120. Zwróć uwagę, że ciąg sekwencji hasła następujący po -synchronizacja flaga to
pojedynczy argument, który nie może mieć osadzonych spacji. Jeśli kluczem do tego tokenu jest
19c0a3519a89b4a8034c5b9306db, kolejnym hasłem wygenerowanym przez ten token powinno być 544323
(z wartością licznika 13). Można to zweryfikować za pomocą -hotp-pokaz:
% dacstoken -hotp-show 5 -licznik 10 -klucz 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Aby włączyć konto dla użytkownika bobo:
% dacstoken -uj PRZYKŁAD -enable -set bobo
Aby zarówno ustawić PIN, jak i włączyć konto dla użytkownika bobo:
% dacstoken -uj PRZYKŁAD -enable -pin "CzAy" -set bobo
Aby szczegółowo wyświetlić wszystkie konta:
% dacstoken -uj PRZYKŁAD -długi
Połączenia -lista flag jest zbędny, ponieważ jest to operacja domyślna. The -tryb, -licznik, itp.
modyfikatory nie mają wpływu na listę.
Aby wyświetlić tylko konto bobo:
% dacstoken -uj PRZYKŁAD -list bobo
Status wyjścia będzie niezerowy, jeśli ten użytkownik nie ma konta.
Aby wyświetlić konto dla urządzenia o numerze seryjnym 37000752:
% dacstoken -uj PRZYKŁAD -serial 37000752
Numer seryjny, który powinien jednoznacznie identyfikować token, jest często drukowany na tokenie
lub może być wyświetlany przez token.
Aby ustawić wartość licznika dla istniejącego konta bobo:
% dacstoken -uj PRZYKŁAD -counter 9 -set bobo
Ta operacja może być używana do testowania lub z tokenem programowym. The -synchronizacja operacja jest
bardziej odpowiedni dla tokena sprzętowego.
Aby zmienić PIN dla nazwy użytkownika bobo:
% dacstoken -uj PRZYKŁAD -pin-prompt -set bobo
Program poprosi o podanie nowego kodu PIN.
Aby użyć alternatywnego pliku konta, /secure/auth_tokens:
% dacstoken -uj PRZYKŁAD -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
Aby użyć nowych kluczy (przy tych samych założeniach co wcześniej), dodaj odpowiednią dyrektywę VFS do
dacs.conf; domyślnie definiuje typ elementu auth_token_keys_prev w następujący sposób:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURYSDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/PRZYKŁAD
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj PRZYKŁAD -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj PRZYKŁAD -inkeys auth_token_keys.prev -set
DIAGNOSTYKA
Program kończy działanie 0 lub 1, jeśli wystąpił błąd.
Korzystaj z dacstoken online, korzystając z usług onworks.net
