Este é o comando dacsauth que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador Windows online ou emulador MAC OS online
PROGRAMA:
NOME
dacsauth - verificação de autenticação
SINOPSE
dacsauth [-m especificação do módulo de autenticação] [...] [-r especificações do módulo de funções] [...] [-DDirectivas=valor]
[-ao]
[-fj sobrenome] [-fn nome federado] [-h | -Socorro] [-Eu iria] [-todos log_level]
[-p senha]
[-pf lima] [-mensagem] [-q] [{-u | -do utilizador} nome de usuário] [-v]
módulos dacsauth
DESCRIÇÃO
Este programa faz parte do DACS diante.
A dacsauth utilitário testa se o material de autenticação fornecido satisfaz a autenticação
requisitos e indica o resultado por meio do status de saída do processo. É similar à
dacs_authenticate(8)[1] e dacscred(1)[2].
dacsauth fornece uma maneira para scripts e outros programas alavancarem o DACS autenticação
a infraestrutura. Eles podem usar autenticação bem-sucedida como uma forma grosseira de
autorização; apenas um usuário que fornece uma senha correta pode ter permissão para executar o
programa, por exemplo. Ou eles podem retornar algum tipo de credencial após sucesso
autenticação, ou talvez usar dacs_auth_agent(8)[3] para retornar DACS credenciais.
dacsauth também pode ser usado para recuperar informações de função associadas a um determinado usuário.
dacsauth não lê nenhum DACS arquivos de configuração. Tudo que é necessário para realizar o teste
deve ser especificado como um argumento.
Dica
If dacsauth usa um módulo embutido para realizar autenticação, ou procurar funções, não
servidor componente is requeridos. Isso significa que você pode usar dacsauth sem ter que
acessar ou mesmo configurar um servidor web, incluindo Apache.
OPÇÕES
Os seguintes sinalizadores de linha de comando são reconhecidos. Pelo menos um -m bandeira (para executar
teste de autenticação), ou pelo menos um -r a bandeira deve ser especificada (para formar uma função
string descritor para a identidade e imprimi-la em stdout). Uma combinação de ambas as bandeiras é
permitido, caso em que uma string do descritor de função é emitida apenas se o teste de autenticação
é bem sucedido.
-DDirectivas=valor
Isso é equivalente a definir Directivas, um general DACS diretiva de configuração, para
valor. Ver dacs.conf(5)[4].
-ao
A próxima string fornecida pelo -p, -pfou -mensagem bandeira será o valor do
AUXILIAR argumento de autenticação. Isso fornece uma maneira segura de passar confidenciais
informações auxiliares, como um PIN, para o programa. Um sinalizador para obter a senha,
se houver, deve preceder esse sinalizador na linha de comando.
-fj sobrenome
Use sobrenome, que deve ser sintaticamente válido, como o nome da jurisdição. Se necessário
mas não fornecido, um valor derivado do nome de domínio do host será usado.
-fn nome federado
Use nome federado, que deve ser sintaticamente válido, como o nome da federação. Se necessário
mas não fornecido, um valor derivado do nome de domínio do host será usado.
-h
-Socorro
Exiba uma mensagem de ajuda e saia.
-Eu iria
Se for bem sucedido, imprima o autenticado DACS identidade para a saída padrão.
-todos log_level
Defina o nível de saída de depuração para log_level (Vejo dacs(1)[5]). O nível padrão é
avisar.
-m especificação do módulo de autenticação
Cada tipo de teste de autenticação exigido é descrito por um especificação do módulo de autenticação
que segue imediatamente o -m bandeira. Cada especificação do módulo de autenticação é essencialmente um
representação alternativa de um Auth cláusula[6] e suas diretrizes, que são utilizadas por
dacs_authenticate(8)[1] Assim como a ordem em que as cláusulas Auth aparecem em um DACS
arquivo de configuração, a ordem em que o -m sinalizadores que aparecem podem ser significativos,
dependendo do ao controle palavras-chave. Durante o processamento, sucessivas -m componentes são
nomes atribuídos automaticamente, auth_module_1, auth_module_2 e assim por diante, principalmente para
para fins de relatório de erros.
An especificação do módulo de autenticação tem a seguinte sintaxe:
A módulo começa com o nome de um módulo integrado ou uma abreviatura válida
disso, ou a URL (absoluta) de um módulo de autenticação externo (equivalente a
que o URL[7] diretiva). A seguir deve aparecer uma palavra-chave de estilo de autenticação reconhecida
especificador (equivalente ao ESTILO[8] diretiva). A seguir, o ao controle a palavra-chave segue,
que é idêntico ao CONTROLE[9] diretiva na cláusula Auth. Depois de ao controle
palavra-chave, os sinalizadores descritos abaixo podem seguir, em qualquer ordem.
An especificação do módulo de autenticação termina quando o primeiro sinalizador inválido (ou o fim dos sinalizadores) é
encontrados.
A -O bandeira é equivalente a um OPÇÃO[10] diretiva.
A -Do sinalizador é seguido por um argumento que é o nome de um arquivo a partir do qual ler
opções, uma por linha, no formato nome=valor. Linhas em branco e linhas começando com
um '#' são ignorados; observe que essas linhas não começam com "-O" e as aspas são simplesmente
copiado e não interpretado. o -Do sinalizador pode ser usado para evitar colocar senhas em
a linha de comando e torna mais fácil escrever expressões que de outra forma teriam
para ser cuidadosamente evitado para evitar interpretação pelo shell, por exemplo.
A -expr bandeira é equivalente ao EXPR[11] diretiva. o -vfs bandeira é usada para
configurar VFS[12] diretivas exigidas por este módulo.
-módulos
Exibir uma lista de módulos de autenticação integrados e módulos de funções, um por linha e
então saia. O nome do módulo canônico é impresso, seguido por zero ou mais equivalente
abreviações. Para módulos de autenticação, o estilo de autenticação é mostrado. Listar
os módulos disponíveis, execute o comando:
% dacsauth -módulos
O conjunto de módulos de autenticação e funções integrados disponíveis (habilitados) é determinado
quando DACS É construído.
-p senha
Especifique a senha a ser usada (equivalente ao SENHA argumento para
dacs_authenticate).
Segurança
Uma senha fornecida na linha de comando pode ser visível para outros usuários no mesmo
sistema.
-pf lima
Leia a senha para usar em lima (equivalente ao SENHA argumento para
dacs_authenticate). Se lima é "-", então a senha é lida a partir da entrada padrão
sem perguntar.
-mensagem
Solicita a senha e lê-a em stdin (equivalente ao SENHA argumento para
dacs_authenticate) A senha não é ecoada.
-q
Seja mais silencioso, reduzindo o nível de saída de depuração.
-r especificação do módulo de função
Funções para nome de usuário pode ser determinado dando este sinalizador, que é imediatamente
seguido por um especificações do módulo de funções. O -r bandeira pode ser repetida, e as funções resultantes
são combinados. Cada especificações do módulo de funções é essencialmente uma representação alternativa de um
Cláusula de funções que é usada por dacs_authenticate(8)[13]. Sucessivas -r componentes são
nomes atribuídos, roles_module_1, roles_module_2 e assim por diante, principalmente para relatórios de erros
finalidades.
A especificações do módulo de funções tem a seguinte sintaxe:
A módulo componente é equivalente à cláusula Roles URL[14] diretiva e é
o nome de um módulo de funções integrado disponível, uma abreviatura válida do mesmo,
ou a URL (absoluta) de um módulo de funções externas.
Bandeiras podem seguir o módulo componente, em qualquer ordem. UMA especificações do módulo de funções termina quando
o primeiro sinalizador inválido (ou o fim dos sinalizadores) é encontrado.
A -O bandeira é equivalente a um OPÇÃO[10] diretiva.
A -Do sinalizador é seguido por um argumento que é o nome de um arquivo a partir do qual ler
opções, uma por linha, no formato nome=valor. Linhas em branco e linhas começando com
um '#' são ignorados; observe que essas linhas não começam com "-O" e as aspas são simplesmente
copiado e não interpretado. o -Do sinalizador pode ser usado para evitar colocar senhas em
a linha de comando e torna mais fácil escrever expressões que de outra forma teriam
para ser cuidadosamente evitado para evitar interpretação pelo shell, por exemplo.
A -expr bandeira é equivalente ao EXPR[11] diretiva. o -vfs bandeira é usada para
configurar VFS[12] diretivas exigidas por módulo.
-u nome de usuário
-do utilizador nome de usuário
O nome de usuário para autenticação (equivalente ao NOME DE USUÁRIO argumento para
dacs_authenticate) Este nome de usuário está implicitamente associado ao efetivo
federação e jurisdição (veja o -fn[15] e -fj[16] sinalizadores).
-v
A -v sinalizador aumenta o nível de saída de depuração para depurar ou (se repetido) rastrear.
EXEMPLOS
Segurança
If dacsauth usa um módulo integrado para realizar a autenticação, deve executar setuid ou
setgid para obter privilégios suficientes para acessar o arquivo de senha necessária (o mesmo
é verdadeiro para módulos de funções integrados). Se ele usa um módulo externo, esse módulo irá
precisa executar com privilégios suficientes para acessar DACS chaves criptográficas,
especificamente federation_keys e possivelmente DACS ou arquivos de senha do sistema; o externo
o módulo precisará ser executado com privilégios suficientes para acessar quaisquer arquivos que ele
requer.
Certifique-se de usar as federation_keys corretas para sua federação. Referenciando
módulos de autenticação em duas ou mais federações provavelmente não funcionarão.
dacsauth portanto, não deve ser executado normalmente como o UID do usuário que o invoca
(a menos que seja root) porque não será capaz de acessar as informações
Isso requer. Isso também impedirá que um usuário "trapaceie" (por exemplo, anexando-se ao
módulo em execução com um depurador).
Este exemplo autentica o usuário "bobo" com a senha "test" contra o DACS arquivo de senha
/ usr / local / dacs / conf / passwd:
% dacsauth -m passwd passwd necessário
-vfs "[passwds] dacs-kwv-fs: / usr / local / dacs / conf / passwd" -q -u bobo -p test
Se o status de saída do comando for zero, o teste de autenticação foi bem-sucedido, caso contrário,
falhou.
O exemplo a seguir tenta autenticar "bobo" em seu arquivo de senha Unix. o
o programa pede a senha.
% dacsauth -m unix passwd necessário -u bobo -prompt
No próximo exemplo, dacsauth tenta autenticar "bobo" via NTLM em
winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER = "winders.example.com" -prompt -u bobo
Este exemplo é semelhante ao anterior, exceto que um módulo de autenticação externa
é usado e a senha é lida de um arquivo. Por causa do módulo externo, adicional
a configuração deve ser fornecida; em particular, a localização de federation_keys e o
nomes de federação e jurisdição devem ser especificados.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate\
passwd enough -OSAMBA_SERVER = "winders.example.com" \
-fn EXEMPLO -fj FEDROOT -u bobo -pf mypass \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / example / federation_keys"
Para autenticar contra o Google[17] conta [email protegido], pode-se usar:
% dacsauth -m http passwd suf \
-OAUTH_URL = "https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER = Email -OPASSWORD_PARAMETER = Senha \
-Oservice = xapi -Osource = DSS-DACS-1.4 -prompt -u [email protegido]
No exemplo a seguir, uma expressão é avaliada para determinar se a autenticação
deve ter sucesso. O usuário ("bobo") é solicitado a fornecer uma senha. Somente se a string "foo" for
fornecido, a autenticação será bem-sucedida. Um exemplo mais realista pode chamar outro programa para
ajudar a fazer a determinação, por exemplo.
% dacsauth -m expr expr sufi \
-expr '$ {Args :: PASSWORD} eq "foo"? $ {Args :: NOME DE USUÁRIO}: "" '-user bobo -prompt
Autenticação em um Apache htdigest arquivo de senha é executado no seguinte
exemplo, onde a senha é lida de stdin:
% echo "teste" | dacsauth -m apache resumo suficiente \
-OAUTH_MODULE = mod_auth_digest \
-OAUTH_FILE = / usr / local / apache2 / conf / passwords.digest \
-OAUTH_REALM = "Área de autenticação do DACS Digest" \
-u bobo -pf-
A autenticação através do módulo PAM funciona de forma diferente dos outros módulos - e é mais
complicado de usar - porque dacsauth pode precisar ser executado várias vezes, dependendo de qual
informações que o PAM requer. Em vez de retornar uma decisão sim / não, dacsauth pode imprimir
solicita mais informações para stdout. Reveja os detalhes operacionais apresentados em
dacs_authenticate(8)[18] e pam(8)[19] antes de tentar usar este módulo.
O exemplo a seguir demonstra o uso do módulo na linha de comando. Uma vez que o básico
idéias sejam compreendidas, deve ser claro como escrever um roteiro para realizar o
iterações necessárias. Detalhes no exemplo, como caminhos, podem precisar ser ajustados para
seu ambiente. Observe que neste exemplo o nome de usuário não é especificado na primeira vez
dacsauth é executado, embora pudesse ser se fosse conhecido.
% dacsauth -m pam solicitado suffic \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OPAMD_HOST = localhost -OPAMD_PORT = dacs-pamd -fj EXEMPLO -fn TEST
AUTH_PROMPT_VAR1 = "Login:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam solicitado suffic \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR1 = "bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2 = "Senha:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam solicitado suffic \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR2 = "apassword" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
A primeira vez dacsauth é executado no exemplo, ele retorna um prompt para o nome de usuário
("Login:") que está associado à variável de transação AUTH_PROMPT_VAR1 e de um
identificador de transação (AUTH_TRANSID) Este último deve ser passado para o subsequente
execuções de dacsauth. A segunda corrida de dacsauth passa o nome de usuário ("bobo") e
retorna outro prompt ("Senha:") que está associado à variável de transação
AUTH_PROMPT_VAR2. A terceira execução passa a senha ("apassword"), mas nenhum prompt é
retornado, indicando que a sessão está concluída e o status de saída do programa reflete
o resultado da autenticação.
Dica
Se dacsauth requer uma senha para recuperar funções depende das funções particulares
módulo sendo usado. Por exemplo, uma senha não é exigida por local_unix_roles[20] ou
funções_locais[21] para obter funções, mas local_ldap_roles[22] provavelmente precisará de um
senha para ligar ao diretório e obter funções.
Este exemplo imprime a string de função para o usuário "bobo" chamando o
local_unix_roles[20] módulo:
% dacsauth -r unix -u bobo
bobo, roda, www, usuários
O próximo exemplo é semelhante ao anterior, exceto que um módulo de funções externas é usado:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles\
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EXEMPLO -u bobo
bobo, roda, www, usuários
O módulo de funções externas pode ser executado em um host diferente daquele em execução
dacsauth. Forneceu dacsauth foi instalado e um arquivo federation_keys correspondente está
disponível no host local, o host local não precisa ser um DACS jurisdição ou ter qualquer
de outros DACS configuração.
O exemplo a seguir imprime o papel corda[23] para o usuário "bobo", conhecido dentro do
diretório com o nome comum "Bobo Baggins", usando o (externo) local_ldap_roles[22]
módulo e o método de ligação "direto":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles\
-Of / usr / local / dacs / ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EXEMPLO -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domain_Admins, Administradores
Porque há muitos sinalizadores para colocar fácil e corretamente na linha de comando, o
as opções necessárias para fazer isso são lidas de um arquivo que é especificado pelo -Do bandeira.
Isso também fornece uma maneira mais segura de passar senhas para o programa; garantir que o acesso
ao arquivo é restrito apropriadamente. O arquivo
/ usr / local / dacs / ldap_roles_options_direct pode conter configurações como esta:
LDAP_BIND_METHOD = direto
LDAP_ADMIN_URL * = "ldap: //winders.example.com/CN=". codificar (url, $ {Args :: DACS_USERNAME}). ", CN = usuários, DC = exemplo, DC = com"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
O exemplo a seguir é como o anterior, exceto que usa a ligação "indireta"
método e, portanto, não precisa receber o nome comum do usuário:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles\
-Of / usr / local / dacs / ldap_roles_options_indirect -u bobo \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EXEMPLO -fj FEDROOT -p bobospassword
DnsAdmins, Print_Operators, Domain_Admins, Administradores
O arquivo / usr / local / dacs / ldap_roles_options_indirect pode conter configurações como
esta:
LDAP_BIND_METHOD = indireto
LDAP_ADMIN_URL = ldap: //winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Pesquisar em usuários ...
LDAP_SEARCH_ROOT_DN = CN = Usuários, DC = exemplo, DC = com
LDAP_ADMIN_PASSWORD = theSecretAdminPassword
LDAP_SEARCH_FILTER * = "(sAMAccountName = $ {Args :: DACS_USERNAME})"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Suponha que alguém queira usar dacsauth para autenticar um usuário via LDAP de forma análoga a
esta configuração dacs.conf:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
ESTILO "senha, add_roles"
CONTROLE "necessário"
LDAP_BIND_METHOD "direto"
LDAP_USERNAME_URL * '"ldap: //winders.example.com/cn=". codificar (url, $ {Args :: USERNAME}). ", cn = usuários, dc = exemplo, dc = local" '
LDAP_USERNAME_EXPR * '"$ {LDAP :: sAMAccountName}"'
LDAP_ROLES_SELECTOR * '"$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): "" '
Um arquivo como este (por exemplo, / usr / local / dacs / ldap_auth_options_direct) conteria o
seguintes diretivas:
LDAP_BIND_METHOD = direto
LDAP_USERNAME_URL * = "ldap: //winders.example.com/cn=". codificar (url, $ {Args :: USERNAME}). ", cn = usuários, dc = exemplo, dc = local"
LDAP_USERNAME_EXPR * = "$ {LDAP :: sAMAccountName}"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
A autenticação poderia então ser realizada usando um comando como este:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate senha suficiente \
-Of / usr / local / dacs / ldap_auth_options_direct \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EXEMPLO -u bobo -prompt
DIAGNÓSTICO
O programa sai de 0 se a autenticação foi bem-sucedida ou com 1 se a autenticação falhou ou
um erro ocorreu.
Use dacsauth online usando serviços onworks.net
