Este é o comando dacstoken que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
dacstoken - administrar senhas de uso único baseadas em hash
SINOPSE
Dacstoken [opções dac[1]] [-todos] [-base Números] [-contador Números] [-dígitos Números]
[-desativar | -habilitar] [-hotp-janela Números] [-chaves Tipo de item]
[[-chave Keyval] | [-arquivo-chave nome do arquivo] | [-prompt de chave]] [-modo modo otp]
[-outkeys Tipo de item]
[[-Pin Pinval] | [-pin-arquivo nome do arquivo] | [-prompt de pino]] [-restrições de pinos str]
[-rnd] [-semente str] [-serial str] [-totp-delta Números] [-totp-drift Windows]
[-totp-hash alg]
[-totp-timestep seg] [-vfs vfs_uri] [especificação operacional] [nome de usuário]
DESCRIÇÃO
Este programa faz parte do DACS diante.
A Dacstoken utilitário administra DACS contas associadas à senha descartável (OTP)
dispositivos geradores (tokens) ou clientes baseados em software. Usando opções de linha de comando, também
calcula os valores OTP; os parâmetros da conta de token podem ser substituídos, mas as contas não são iguais
necessário.
A autenticação forte de dois fatores pode ser fornecida quando dacs_authenticate[2] está configurado
usar o local_token_authenticate[3] módulo de autenticação ou quando Dacstoken é usado como
um programa autônomo para validar senhas. Tanto o modo de senha de uso único baseado em HMAC
(HOTP), com base em um contador de eventos e especificado por RFC 4226[4], e o baseado no tempo
modo de senha descartável (TOTP), conforme especificado pelo mais recente IETF Rascunho da Internet[5] proposta,
são suportados. Adicional operacional modos[6] chamado OCRA (JURAMENTO Resposta do desafio
Algoritmos), descrito em um IETF Internet-Draft, ainda não são totalmente suportados.
Note
Esta versão do Dacstoken incorpora muitas mudanças que não são compatíveis com versões anteriores
com a versão 1.4.24a e anterior. Alguns sinalizadores de linha de comando funcionam de maneira diferente e
o formato do arquivo de conta mudou. Se você já usou este comando anteriormente
lançamentos, faça uma cópia de backup do seu arquivo de conta de token e analise este manual
página com cuidado antes de prosseguir (observe o -converter bandeira [7] em particular).
importante
Nenhum software fornecido pelo fornecedor é exigido por Dacstoken para fornecer sua funcionalidade. O
os dispositivos atualmente suportados não precisam de nenhum registro ou interação de configuração
com fornecedores e Dacstoken parece não interagir com vendedores Servidores or usar qualquer
proprietário Programas. O software fornecido pelo fornecedor pode ser necessário para executar
inicialização ou configuração para outros dispositivos de token, no entanto, e Dacstoken parece
não fornecer esse suporte para eles.
Cada dispositivo de token geralmente corresponde a exatamente uma conta gerenciada por
Dacstoken, embora alguns fornecedores produzam tokens que podem oferecer suporte a várias contas.
Para resumir, este utilitário:
· Cria e administra DACS contas associadas a com base em contador e com base no tempo
senhas de uso único
· Fornece funcionalidade de validação e teste
· Fornece um recurso de autenticação de linha de comando
Segurança
Apenas o DACS o administrador deve ser capaz de executar com sucesso este programa a partir do
linha de comando. Porque DACS chaves e arquivos de configuração, incluindo o arquivo usado para
contas de loja, devem ser restritas ao administrador, normalmente será o
caso, mas um administrador cuidadoso irá definir permissões de arquivo para negar acesso a todos
outros usuários.
Note
A dacs_token(8)[8] serviço da web fornece aos usuários autoatendimento limitado
funcionalidade para definir ou redefinir seu PIN de conta e sincronizar seu token. Isso também
tem um modo de demonstração para simplificar o teste e a avaliação.
PINs (Conta Senhas)
A Dacstoken A conta pode, opcionalmente, ter um PIN (ou seja, uma senha) associado a ela. Para
autenticar em tal conta, um usuário deve fornecer a senha descartável produzida
pelo token e o pino. O TOKEN_REQUIRES_PIN[9] diretiva de configuração determina
se um PIN deve ser fornecido ao criar ou importar uma conta; não se aplica em
conjunção com o -delpin sinalizar, uma vez que apenas um administrador deve ser capaz de executar
essa função.
Um hash do PIN é armazenado no registro da conta, e não no próprio PIN. O mesmo
método usado por dacspasswd(1)[10] e dacs_passwd(8)[11] é aplicado e depende do
SENHA_DIGEST[12] e SENHA_SALT_PREFIX[13] diretivas em vigor. Se
SENHA_DIGEST[12] é configurado, esse algoritmo é usado, caso contrário, um tempo de compilação
padrão (SHA1) é usado. Se um usuário esquecer o PIN, o antigo não pode ser recuperado, por isso
deve ser excluído ou um novo deve ser definido.
Alguns dispositivos de token possuem um recurso de PIN integrado. O usuário deve inserir um PIN em
o dispositivo antes de emitir uma senha de uso único. Este "PIN do dispositivo" é
completamente distinto do PIN da conta que é gerenciado por Dacstoken, e este manual é
apenas preocupado com o Dacstoken ALFINETE. O PIN do dispositivo deve ser usado sempre que possível;
que o Dacstoken O PIN é altamente recomendado e necessário para autenticação de dois fatores
(a menos que um fator de autenticação adicional seja aplicado de alguma outra forma).
Uma vez que apenas o administrador tem permissão para executar este comando, nenhuma restrição é imposta
no comprimento ou qualidade dos PINs fornecidos pelo administrador; uma mensagem de aviso
será emitido, no entanto, se a senha for considerada fraca, conforme determinado pelo
PASSWORD_CONSTRAINTS[14] diretiva.
Um tempo senhas
Ambos os tipos de dispositivo de senha descartável calculam um valor de senha empregando um
algoritmo de hash com chave (RFC 2104[15], FIPS 198[16]). No método baseado em contador, o dispositivo
e o servidor compartilham uma chave secreta e um valor de contador que são misturados para gerar um valor numérico
valor exibido em uma determinada raiz com um certo número de dígitos. Bem sucedido
a autenticação requer que o dispositivo e o servidor calculem as senhas correspondentes. Cada vez que o
dispositivo produz uma senha, ele incrementa seu contador. Quando o servidor recebe uma correspondência
senha, ele incrementa seu contador. Porque é possível que os dois contadores se tornem
não sincronizado, o algoritmo de correspondência do servidor normalmente permite a senha de um cliente
para cair dentro de uma "janela" de valores do contador. O método baseado no tempo é semelhante, o principal
diferença sendo que o tempo Unix atual (conforme retornado por tempo(3)[17], por exemplo) é
usado para estabelecer uma "janela de intervalo de tempo" que serve como um valor de contador no cálculo
do hash seguro. Porque os relógios em tempo real do dispositivo e do servidor podem não ser
suficientemente sincronizado, o algoritmo de correspondência do servidor também deve permitir que um cliente
senha para cair dentro de um certo número de janelas de intervalo de tempo para esses dispositivos.
Segurança
Um token pode ser atribuído a uma chave secreta permanente (às vezes chamada de semente OTP) por seu
fabricante ou a chave pode ser programável. Esta chave secreta é usada pelo token
procedimento de geração de senha e é fundamental que seja mantido privado. Se o token
não é programável, a chave é obtida do fornecedor (para um token HOTP, normalmente
fornecendo o número de série do dispositivo e quaisquer três senhas consecutivas). Uma gravação
de cada mapeamento do número de série para a chave secreta deve ser mantido em um local seguro.
Se a chave secreta for programável, como é provável que seja com um cliente de software, é
necessário ser pelo menos 128 bits de comprimento; um mínimo de 160 pedaços é recomendado. O
chave é representada por uma sequência hexadecimal de 16 (ou mais) caracteres. A chave deve
ser obtido de uma fonte de qualidade criptográfica de bits aleatórios. Alguns clientes podem ser
capaz de gerar uma chave adequada, mas você pode usar dacsexpr(1)[18]:
% dacsexpr -e "random (string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Dica
Os tokens podem ser usados para fins de autenticação diferentes do logon do computador. Por
por exemplo, fornecendo um número de conta, PIN e valor de token, os clientes podem rapidamente
ser autenticado por telefone, reduzindo ou eliminando a necessidade de custos e
perguntas de segurança demoradas.
Os dispositivos e aplicativos com senha descartável têm os seguintes parâmetros operacionais.
Esses parâmetros determinam a sequência de senha gerada. Alguns operacionais
parâmetros podem ser fixados (pela norma relevante ou devido à implementação), enquanto
outros podem ser parcial ou totalmente configuráveis pelo usuário. Por favor, consulte o
referências e documentação do fabricante para obter detalhes.
base
A raiz na qual as senhas são exibidas.
contrariar
Somente para o modo HOTP, o valor do contador atual.
dígitos
O número de dígitos em cada senha descartável.
chave
A chave secreta (semente OTP).
número de série
Um identificador ou nome exclusivo para o dispositivo.
tamanho do passo de tempo
Apenas para o modo TOTP, a largura de cada intervalo de tempo, em segundos. A mesma senha
será gerado dentro de um determinado intervalo; ou seja, este é o "tempo de vida" ou validade
período de cada senha TOTP.
Além desses parâmetros, Dacstoken emprega vários por conta (ou seja, por dispositivo)
parâmetros:
aceitar janela
Ao validar uma senha HOTP, o número máximo de senhas a considerar após o
senha esperada.
deriva
Apenas para o modo TOTP, o número de segundos para ajustar o relógio do servidor
para frente ou para trás para sincronizá-lo melhor com o dispositivo. Isso é usado para
compensar tokens ou software cliente cujos relógios não estão bem sincronizados com
do servidor.
janela de deriva
Apenas para o modo TOTP, mas análogo à janela de aceitação, o número máximo de
intervalos (cada tamanho do intervalo de tempo) para pesquisar para frente e para trás ao validar
contra uma determinada senha.
sincronização-otps
Somente para o modo HOTP, o número de senhas de uso único consecutivas necessárias para
sincronizar a conta com o dispositivo.
nome de usuário
O nome do DACS conta vinculada ao dispositivo.
A autenticação baseada em dispositivos de senha descartável tem as seguintes vantagens:
· Cada vez que um usuário autentica, uma senha diferente será gerada (com alta
probabilidade); os usuários não podem, portanto, anotar "a senha" porque a senha é
sempre a mudar; os usuários não podem esquecer sua senha;
· Uma vez usada, uma senha de modo HOTP é imediatamente "consumida" e é improvável que seja usada
novamente por um longo tempo; com parâmetros de configuração adequados, uma senha de modo TOTP
automaticamente "expira" dentro de um intervalo de tempo relativamente curto e é improvável que seja
usado novamente por muito tempo;
· Se nenhuma correção para o desvio do relógio for necessária, uma conta no modo TOTP pode ter somente leitura
operação;
· Como é improvável que a senha seja um número ou string de adivinhação fácil, deveria
ser mais forte do que a maioria das senhas selecionadas pelo usuário;
· Um token HOTP pode ser a base de um método de autenticação mútua ("bidirecional"); a
servidor mostra ao usuário a próxima senha de seu token para confirmar sua identidade (com ambos
partes avançando seus contadores), então o cliente mostra ao servidor a próxima senha
para confirmar sua identidade;
· Se um farejador de chave for instalado no computador do usuário, uma senha farejada não
fazer algum bem a um atacante, a menos que um homem no meio ataque[19] é possível; dado N
senhas consecutivas ainda é muito difícil computar a senha N + 1 sem
conhecer a chave secreta;
· É mais difícil para os usuários compartilhar uma conta (embora os usuários possam às vezes
veja isso como um inconveniente);
· Se um Dacstoken O PIN é atribuído a uma conta e um invasor obtém o
token, ainda é difícil para o invasor se autenticar sem saber o PIN;
· Uma maneira rápida e eficaz de desativar uma conta é simplesmente capturar um
token de hardware (por exemplo, se um funcionário for demitido), embora uma conta possa ser desativada por
este programa ou usando o revogação Lista[20];
· No caso de um cliente de software executado em um dispositivo móvel, como um telefone ou PDA,
os usuários já estão carregando o dispositivo com eles; clientes gratuitos estão disponíveis, então lá
pode haver nenhum custo adicional (observe que os dispositivos móveis podem não oferecer o mesmo
resistência à violação, durabilidade, sigilo de chave, precisão do relógio, etc. de um token de hardware).
Dispositivos de senha única têm as seguintes desvantagens potenciais:
· Há uma despesa única para um token de hardware (dependendo do volume de compra,
você pode esperar pagar $ 10- $ 100 USD cada), e há a possibilidade de ter que
substituir um token perdido ou quebrado, ou a bateria de um token (algumas unidades têm um
bateria não substituível, tornando-os descartáveis após alguns anos);
· A configuração inicial é um pouco mais difícil do que com outra autenticação
métodos, e os usuários não familiarizados com os dispositivos terão que ser instruídos sobre seus
usar;
· Embora sejam normalmente muito pequenos (por exemplo, 5 cm x 2 cm x 1 cm) e podem ser fixados em
um chaveiro ou cordão, ou mantido em uma carteira, os usuários podem estremecer por ter que carregar um token
ao redor com eles;
· Os usuários podem esquecer de ter seu token com eles ou perder o token;
· Um dispositivo móvel (com um cliente de software) é provavelmente um alvo provável para roubo, mais
mais do que um token de hardware (daí a importância extra de um PIN para este dispositivo);
· Ao contrário de um token de hardware onde a chave é gravada em inacessível, à prova de violação
memória, a chave configurada em um cliente de software pode ser lida por seu
proprietário, possibilitando o compartilhamento da conta;
· Inserir um valor de semente de 40 caracteres ou mais em um dispositivo móvel pode ser frustrante
e sujeito a erros;
· Uma vez que um dispositivo TOTP gera uma senha, uma nova senha não pode ser gerada até que o
próxima janela de intervalo de tempo, exigindo que o usuário espere 30 (ou possivelmente 60) segundos (por exemplo,
se um erro de entrada for cometido);
· Alguns dispositivos são difíceis de ler em condições de pouca luz; usuários presbiópicos e aqueles
com deficiência visual pode ter dificuldade em ler o visor.
Contas
As contas gerenciadas por Dacstoken são completamente separados das contas usadas por
local_passwd_authenticate[21] ou qualquer outro DACS módulo de autenticação.
As contas para dispositivos HOTP e TOTP podem ser combinadas ou mantidas separadas. Se o virtual
tipo de item de armazenamento de arquivos auth_hotp_token é definido, ele só é usado para contas associadas
com tokens HOTP. Da mesma forma, se o tipo de item de armazenamento de arquivos virtual auth_totp_token for
definido, ele é usado apenas para contas associadas a tokens TOTP. Se qualquer tipo de item for
não definido, as contas são acessadas por meio de DACS's armazenamento de arquivos virtual usando o tipo de item
auth_token. Presume-se que as permissões de arquivo nos bancos de dados de contas sejam tais que todos
o acesso é limitado ao administrador e local_token_authenticate.
Se as contas para os dois tipos de dispositivo forem combinado, porque cada nome de usuário para um
método de autenticação deve ser único, se um indivíduo tiver os dois tipos de token, ele deve
receber nomes de usuário diferentes. Então, por exemplo, se Auggie tiver um token HOTP e um
Token TOTP, o primeiro pode corresponder ao nome de usuário auggie-hotp e o último a
auggie-totp; o formulário de login pode incluir uma entrada de modo de dispositivo que permitiria a Auggie
para simplesmente digitar "auggie" no campo de nome de usuário e JavaScript para anexar automaticamente o
sufixo apropriado com base no modo de dispositivo selecionado. Uma desvantagem óbvia disso
configuração é que resulta em dois diferentes DACS identidades para o mesmo indivíduo;
isso teria que ser lembrado se uma regra de controle de acesso fosse necessária para identificar Auggie
explicitamente. Se ambos os tokens devem ser mapeados para o mesmo DACS identidade, a cláusula Auth poderia
retire o sufixo após a autenticação bem-sucedida, mas o administrador então
precisa ter cuidado com o caso de dois Auggies diferentes, cada um usando um tipo de dispositivo diferente.
Configurando os tipos de item auth_hotp_token e auth_totp_token (ou apenas um deles
e auth_token) mantém as contas separadas e permite que o mesmo nome de usuário seja usado para
ambos os tipos de dispositivos. Auggie poderia, portanto, ter um registro de conta com o mesmo
nome de usuário para ambos os tipos de dispositivo. Esta abordagem requer que o modo do dispositivo seja especificado
quando uma operação é solicitada para que o tipo de item correto possa ser usado; Isso significa que
os usuários devem saber que tipo de dispositivo estão usando (talvez afixando um rótulo nele).
Consulte os detalhes importantes sobre DACS identidades [22].
A -vfs é usado para configurar ou reconfigurar o tipo de item auth_token.
Apenas as chaves que atendem ao requisito de comprimento mínimo de chave (16 bytes) podem ser armazenados com
informações da conta (por exemplo, com -conjunto or -importar) Em outros contextos, o requisito é
não aplicada.
A chave secreta é criptografada por Dacstoken quando é gravado no arquivo de conta. O
tipo de item de armazenamento de arquivos virtual auth_token_keys identifica as chaves de criptografia para Dacstoken
usar; a -chaves e -outkeys sinalizadores especificam alternativas (ver dackey(1)[23]). Se o
as chaves de criptografia são perdidas, as chaves secretas são praticamente irrecuperáveis.
importante
Se um invasor descobrir uma chave secreta, gerando senhas utilizáveis sem possuir
o token não será difícil. Para pelo menos alguns tokens de hardware, a chave é queimada
no dispositivo e não pode ser alterado; neste caso, se a chave vazar, o dispositivo
deve ser destruído. Se um token for perdido, a conta correspondente deve ser desativada.
No caso de um invasor encontrar um token perdido ou descobrir uma chave secreta, tendo um
O PIN associado à conta tornará difícil para o invasor obter
acesso.
importante
· Este método de autenticação foi testado com os seguintes produtos OTP:
· Autenex Uma chave 3600[24] token de hardware de senha descartável (HOTP);
· feitiano Tecnologias[25] Hardware de senha descartável OTP C100 e OTP C200
tokens, fornecidos por HyperSecuGenericName Dados Pessoais sistemas[26]; e
· JURAMENTO Token[27] aplicativo de software por Archie Cobbs, que implementa ambos
HOTP e TOTP no iPod tocar, iPhone, e iPad[28].
· Tecnologias Feitianas iOATH Leve[29] Aplicativo de software HOTP para iPod
Touch, iPhone e iPad.
Outros fabricantes interessados em ter seus produtos apoiados por DACS e guarante que os mesmos estão
bem-vindo ao contato com o DSS.
· Foto[30]: Feitian OTP C200, iPod Touch com o aplicativo OATH Token, Authenex A-Key
3600 (sentido horário do canto superior esquerdo)
· Embora esta implementação deva funcionar com produtos semelhantes e compatíveis, apenas
esses produtos são oficialmente suportados por DACS.
· Os tokens de hardware podem ser adquiridos diretamente dos fornecedores.
· Quaisquer problemas com o uso de tokens para autenticação por meio DACS não são os
responsabilidade do fornecedor do token.
Importador e Exportando OTP Contas
Descrições de contas e seus tokens podem ser carregadas ou despejadas (consulte o -importar
e -exportar bandeiras). Isso simplifica o provisionamento em massa, backup e portabilidade. O
as informações da conta são gravadas em um formato XML simples e específico do aplicativo (quase).
O formato compreendido por Dacstoken consiste em um elemento raiz ("otp_tokens"), seguido por
zero ou mais elementos "otp_token", um por linha, cada um com obrigatório e opcional
atributos (descritos abaixo). A declaração XML deve ser omitida. Espaço em branco à esquerda e
as linhas em branco são ignoradas, assim como os comentários XML de uma única linha. Além disso, as linhas com um "#"
como o primeiro caractere diferente de espaço em branco são ignorados. Atributos opcionais que não são
presentes são atribuídos valores padrão. O algoritmo de resumo padrão é SHA1. Atributo curto
nomes são usados para economizar espaço. Atributos não reconhecidos e irrelevantes para o
modo de dispositivo, são ignorados. Caracteres de aspas simples ou duplas (ou ambos) no atributo XML
os valores devem ser substituídos pela referência de entidade correspondente ("'" e "" ",
respectivamente), assim como os caracteres "<" (menor que) e "&" (e comercial). Um ">" (maior
que) o caractere pode ser substituído opcionalmente por uma sequência ">", mas nenhuma outra entidade
referências são reconhecidas.
Os atributos reconhecidos são:
· B:
base
- raiz para o valor OTP
[Opcional:
10 (Padrão)
16ou 32]
· C:
contrariar
- valor do contador atual para HOTP, em hexadecimal se precedido
por "0x" (ou "0X"), decimal caso contrário
[Opcional:
padrão é 0]
· D:
OTP dispositivo modo
- "c" (para HOTP)
ou "t" (para TOTP)
[Requeridos]
· Dn:
nome do resumo
- um dos algoritmos Secure Hash
[Opcional:
SHA1 (padrão),
SHA224, SHA256,
SHA384, SHA512]
· Dr:
deriva do relógio
- ajuste do relógio, em segundos, para TOTP
[Opcional]
· Ek:
chave criptografada
- chave secreta criptografada, codificada em base 64
[Requeridos:
Apenas registros de conta OTP]
· En:
status habilitado
-- 1 para habilitado,
0 para deficientes
[Requeridos]
· K:
chave de texto simples
- chave secreta não criptografada
[Requeridos]
· Lu:
última atualização
- Hora Unix da última atualização de registro
[Opcional: o padrão é a hora atual]
· Nd:
ndígitos
- número de dígitos para o valor OTP
[Opcional:
padrão é 6 para HOTP,
8 para TOTP]
· P:
PIN de texto simples
- valor do PIN em texto simples para a conta
[Requeridos:
a menos que ph esteja presente,
apenas para importação]
· Ph:
PIN com hash
- valor do PIN com hash para a conta
[Opcional:
gerado por Dacstoken
para exportação e arquivos de conta OTP apenas]
· S:
número de série
- string de identificador exclusivo para o dispositivo
[Requeridos]
· Ts:
passo do tempo
- valor da etapa de tempo, em segundos, para TOTP
[Opcional:
padrão é 30]
· você:
nome de usuário
-- um válido DACS nome de usuário associado a esta conta
[Requeridos]
O exemplo a seguir descreve duas contas que podem ser criadas usando o -importar bandeira:
Segurança
Como os registros importados incluem as chaves secretas não criptografadas para os dispositivos OTP, o
arquivo exportado deve ser mantido criptografado (por exemplo, usando openssl) ou pelo menos tem
permissões de arquivo apropriadas.
Note
Um formato padrão para provisionamento de dispositivo OTP está sendo desenvolvido. Este formato pode ser
entendido por uma versão futura de Dacstoken, ou um utilitário de conversão pode ser escrito.
O formato padrão é provavelmente consideravelmente mais complexo do que o DACS formato.
OPÇÕES
Além do padrão opções dac[1], uma longa lista de sinalizadores de linha de comando são
reconhecido. Quando um nome de usuário é fornecido, os valores padrão associados a essa conta são
usado, caso contrário, os padrões recomendados ou específicos da implementação são usados. Estes padrões
os valores geralmente podem ser substituídos na linha de comando. Algumas bandeiras são permitidas apenas com um
modo de token específico (por exemplo, -contador, -totp-show) e sua aparência implica esse modo,
Fazendo o -modo sinalizar desnecessário; outros sinalizadores são independentes de modo (por exemplo, -excluir,
-habilitar) É um erro usar uma combinação de sinalizadores mutuamente incompatível. Bandeiras que são
sem sentido com a operação selecionada são ignorados, embora ainda impliquem um modo.
Os valores hexadecimais não diferenciam maiúsculas de minúsculas. Se um valor de contador for necessário, mas não especificado
(por exemplo, ao criar uma conta), um valor de contador inicial de zero é usado.
A especificação operacional especifica a operação a ser realizada, juntamente com zero ou mais mudança
bandeiras. Se especificação operacional está faltando, o -Lista operação é executada. Um especificação operacional é um dos
A seguir:
-auth valor otp
Esta bandeira é como -validar[31], exceto:
· uma nome de usuário é necessário, a partir do qual todos os parâmetros são obtidos (como a chave);
· Se a conta possui um PIN, ele deve ser fornecido;
· Se a conta for para um token HOTP, o contador será atualizado se houver autenticação
é bem sucedido.
Um status de saída de zero indica autenticação bem-sucedida, enquanto qualquer outro valor
significa que a autenticação falhou.
-converter nome do arquivo
Carregue um arquivo de conta de token de formato mais antigo (anterior à versão 1.4.25) de nome do arquivo ("-"
significa ler de stdin), convertê-lo para o formato mais recente e gravá-lo em stdout (como
by -exportar) Este sinalizador está obsoleto e este recurso será removido no futuro
lançamento de DACS.
-Criar
Crie uma conta para nome de usuário, que ainda não deve existir. Em outros aspectos,
funciona como -conjunto[32]. Ao criar uma nova conta, -serial é necessário e -chave is
implícita. Se não -habilitar sinalizador é fornecido ao criar uma conta, -desativar está implícito.
Se nenhum -contador sinalizador é fornecido, um padrão de zero é usado. Se um dos sinalizadores de PIN for
presente, o PIN fornecido será atribuído à conta, caso contrário, a conta não
tem um PIN (ou o PIN existente não será alterado).
-atual
Exibir o fator de movimento atual (ou seja, o valor do contador para HOTP ou o intervalo
valor para TOTP) e OTP esperado para nome de usuário. Para HOTP, o contador é avançado. Tudo
os parâmetros são retirados da conta.
-excluir
Exclua a conta para nome de usuário. A chave secreta do dispositivo e outros operacionais
parâmetros serão perdidos.
-delpin
Exclua o PIN, se houver, na conta para nome de usuário, saindo da conta sem um
ALFINETE.
-exportar
Escreva informações sobre todas as contas, ou apenas uma conta, se nome de usuário é dado, para
stdout. Se um modo for selecionado, no entanto, apenas contas com esse modo serão
escrito. Esta informação pode ser recarregada usando -importar or -importar-substituir. A saída
deve ser armazenado em uma forma criptografada, ou pelo menos ter suas permissões de arquivo
definir apropriadamente. Por exemplo:
% dacstoken -uj EXEMPLO -export | openssl enc -aes-256-cbc> dacstoken-export.enc
Mais tarde, você pode fazer algo como:
% openssl enc -d -aes-256-cbc <dacstoken -ushed.enc | dacstoken -uj EXEMPLO -import -
-h
-Socorro
Exiba uma mensagem de ajuda e saia.
-hotp-show Números
Ecrã Números senhas HOTP consecutivas de um determinado valor de contador e chave. O
-contador sinalizador pode ser usado para especificar um valor de contador inicial. A chave pode ser
especificado usando -chave, -arquivo-chaveou -prompt de chave. Se um nome de usuário é fornecido, o
o valor do contador inicial e a chave são obtidos da conta HOTP do usuário, a menos que
o valor é sobrescrito na linha de comando; o valor do contador armazenado da conta não é
modificado. Isso se destina principalmente a fins de depuração.
-importar nome do arquivo
-importar-substituir nome do arquivo
Carregar informações de conta e token de nome do arquivo; E se nome do arquivo é "-", stdin é lido.
Se um modo for selecionado, apenas as contas com esse modo serão lidas. Com -importar isto é
um erro se já existir uma conta importada e o processamento for interrompido; -importar-substituir
substituirá uma conta existente com dados importados.
-l
-Lista
-longo
If nome de usuário é fornecido, exibe informações sobre a conta correspondente; se o
-serial sinalizador é fornecido, exibe informações sobre a conta com o número de série especificado
número; caso contrário, liste todas as contas. Se o -modo sinalizador é dado em qualquer um desses casos,
no entanto, liste apenas as contas que possuem o modo operacional especificado. Se este
bandeira é repetida, ou com o -longo sinalizador, mais detalhes são exibidos: tipo de dispositivo,
status da conta, número de série do dispositivo, valor do contador (para HOTP), valor de variação do relógio (para
TOTP), se a conta tem ou não um PIN (indicado por um símbolo "+" ou "-"), e
a hora e a data da última modificação da conta.
-renomear nova-username
Renomear a conta existente para nome de usuário ser nova-username, e modificar o novo
conta usando argumentos de linha de comando (como com -conjunto[32]). Como isso requer duas etapas
que não são feitos atomicamente, se ocorrer um erro, é possível para a nova conta
ser criado e a conta antiga ainda existir.
-conjunto
A -conjunto sinalizador é usado para modificar a conta existente para nome de usuário baseado em um ou mais
argumentos modificadores (-base, -contador, -dígitos, -desativar or -habilitar, -chave (ou -arquivo-chave
or -prompt de chave), -Pin (ou -pin-arquivo or -prompt de pino), ou -serial) O modo também pode ser
alterado especificando -modo, mas parâmetros específicos do modo associados à conta
será perdido (por exemplo, o valor do contador atual será excluído se uma conta HOTP for
alterado para uma conta TOTP) e os parâmetros gerais (como o número de série) serão
retido, a menos que seja substituído na linha de comando.
-sincronizar lista de senhas
No modo HOTP, ele tenta sincronizar o servidor com o token para nome de usuário. O
lista de senhas é uma lista separada por vírgulas de três senhas sucessivas produzidas pelo
token do usuário (esta função de "sincronização automática" também está disponível através de
local_token_authenticate[3]). A sequência fornecida deve corresponder à sequência computada
exatamente, dados os parâmetros operacionais em vigor; por exemplo, zeros à esquerda são
significativo, assim como o radix de exibição e o número de dígitos OTP em vigor. Se
a sincronização for bem-sucedida, o usuário deve ser capaz de autenticar usando o próximo
senha produzida pelo dispositivo. Um algoritmo de pesquisa exaustivo usando o aumento
valores do contador são empregados, com um limite de tempo de compilação no número máximo de
cálculos. A pesquisa começa no valor do contador atualmente armazenado do servidor, a menos que
um é fornecido usando -contador. Se não for bem-sucedida, esta operação pode levar muito tempo
antes de terminar; o usuário deve entrar em contato com um administrador para obter assistência.
No modo TOTP, tente determinar o quão próximo está sincronizado o relógio do sistema com
o relógio do token e exibir o resultado. Esta informação pode ser usada para atualizar o
registro de token do usuário para compensar relógios mal sincronizados ou para ajustar
parâmetros de validação. A chave do token e o nome do algoritmo de resumo são
obtido para o registro de token pertencente a nome de usuário, se for fornecido; caso contrário, a chave
é solicitado e o algoritmo de resumo a usar é obtido a partir do comando
linha ou o padrão. Apenas a primeira senha em lista de senhas é usado. O
-totp-timestep, -dígitos e -totp-base as opções são eficazes durante esta operação.
-teste
Execute alguns autotestes e saia. Um status de saída diferente de zero significa que ocorreu um erro.
-totp-show Números
Exibir uma sequência de senhas TOTP usando os parâmetros atualmente em vigor:
tamanho do intervalo (-totp-timestep), número de dígitos (-dígitos), e base (-base). O
os parâmetros armazenados da conta não são modificados. Destina-se principalmente para depuração
finalidades.
Se um nome de usuário é fornecida (deve ser associada a um dispositivo TOTP), a chave e
outros parâmetros armazenados da conta são usados, a menos que sejam substituídos pela linha de comando
bandeiras. A sequência de senhas para Números intervalos antes e depois da hora atual,
junto com a senha para a hora atual são impressos.
Se nenhum nome de usuário é fornecido, o programa solicita a chave (que é ecoada) e usa
sinalizadores de linha de comando ou valores padrão para parâmetros. Em seguida, ele emite a senha TOTP
para a hora atual cada vez que Return / Enter é pressionado. Digitar EOF causa imediata
terminação.
-validar valor otp
If valor otp é a próxima senha descartável esperada, retorna um status de saída de zero para
indicam sucesso; qualquer outro valor indica falha. Se nome de usuário é dado, parâmetros
para validação, incluindo a chave, são obtidas dessa conta, a menos que sejam substituídas em
a linha de comando. O estado do servidor não é alterado; por exemplo, um contador HOTP não é
avançado. Se não nome de usuário é dado, o -modo bandeira deve ser usada e os parâmetros
necessário para esse modo deve ser fornecido, incluindo uma chave. Para o modo HOTP, um valor de contador
Deve ser providenciado. Para o modo TOTP, os parâmetros da linha de comando são eficazes durante este
validação. Dacstoken vai testar se valor otp valida contra os parâmetros em
efeito.
Os seguintes mudança sinalizadores são compreendidos:
-todos
Com o -conjunto e não nome de usuário, aplique as alterações a todos os contas. Isso pode ser usado para
habilitar ou desabilitar todas as contas, por exemplo. O -chaves e -outkeys bandeiras são
honrado. Se ocorrer um erro, o processamento para imediatamente, caso em que apenas alguns
contas podem ter sido modificadas.
-base Números
Use Números como base (raiz) ao exibir uma OTP. O valor de Números está restrito a
10 (o padrão), 16ou 32.
-contador Números
Este é o valor do contador HOTP de 8 bytes a ser definido, expresso como um valor hexadecimal se precedido por
por "0x" (ou "0X"), caso contrário decimal. Zeros à esquerda podem ser omitidos. Isso implica HOTP
modo. Para dispositivos de token, não deve ser possível redefinir um contador (contador de módulo
estouro) porque isso resultará na sequência da senha sendo repetida, assumindo
que a chave não é alterada; implementações de software podem não ter essa restrição,
entretanto, tome cuidado com as implicações de segurança.
-dígitos Números
Use Números dígitos ao exibir uma OTP. O valor de Números está restrito a 6, 7, 8 (O
padrão), ou 9 com base 10. É restrito a 6 com base 32 e é ignorado com
base 16 (saída hexadecimal).
-desativar
Desative a conta para nome de usuário. O local_token_authenticate módulo, e -auth e
-validar sinalizadores, não permitirá que o usuário se autentique até que a conta tenha sido
habilitado, embora outras operações ainda possam ser realizadas na conta. Se -habilitar
for usado posteriormente, a conta se tornará utilizável para autenticação e será
restaurado ao seu estado no momento em que foi desativado. Não é um erro desabilitar um
conta já desativada.
-habilitar
Habilite a conta para nome de usuário. O local_token_authenticate módulo irá permitir o
usuário para autenticar. Não é um erro habilitar uma conta já habilitada.
-hotp-janela Números
Se a senha HOTP esperada não corresponder à senha fornecida, tente corresponder a
Números senhas após a senha esperada na sequência. Um valor de zero para Números
desativa esta pesquisa.
-chaves Tipo de item
Para descriptografar as chaves secretas, use o armazenamento identificado por Tipo de itempresumivelmente
configurado em dacs.conf.
-chave Keyval
Use Keyval como a chave secreta, expressa como uma string de dígitos hexadecimais.
Segurança
Fornecer uma chave na linha de comando não é seguro porque pode ser visível para
outros processos.
-arquivo-chave nome do arquivo
Leia a chave secreta, expressa como uma string de dígitos hexadecimais, de nome do arquivo. Se nome do arquivo is
"-", a chave é lida de stdin.
-prompt de chave
Solicita a chave secreta, expressa como uma string de dígitos hexadecimais. A entrada não é ecoada.
-modo modo otp
Isso especifica (sem distinção entre maiúsculas e minúsculas) o tipo de token (o modo de dispositivo OTP) para uso
com -conjunto, -Criare operações de validação e sincronização. O modo otp pode ser
contador ou hotp para modo de contador, ou tempo ou totp para modo baseado em tempo. Isto
sinalizador é necessário ao criar uma nova conta.
-outkeys Tipo de item
Para criptografar chaves secretas, use o armazenamento identificado por Tipo de item, presumivelmente definido
em dacs.conf.
-Pin Pinval
Use Pinval como o PIN secreto da conta.
Segurança
Fornecer um PIN na linha de comando não é seguro porque pode ser visível para
outros processos.
-restrições de pinos str
Ao invés de usar PASSWORD_CONSTRAINTS[14], usar str (tendo a mesma sintaxe e
semântica) para descrever os requisitos de um PIN.
Note
Os requisitos para um PIN se aplicam aos PINs obtidos por meio de uma sinalização de linha de comando e àqueles
obtido através da importação (usando o atributo "p"). Requisitos não são
"retroativo", no entanto, alterar os requisitos não afeta os PINs de
contas existentes ou contas de importação que foram exportadas anteriormente (tendo um
atributo "ph").
-pin-arquivo nome do arquivo
Leia o PIN secreto de nome do arquivo. Se nome do arquivo é "-", o PIN é lido de stdin.
-prompt de pino
Solicita o PIN secreto. A entrada não é ecoada.
-rnd
Reservado para uso futuro.
-semente str
Reservado para uso futuro.
-serial str
O número de série, str, é um identificador (supostamente) exclusivo atribuído ao token.
Esta opção é usada com o -conjunto, -Criar e -Lista bandeiras. Um número de série
identifica um dispositivo OTP específico e não precisa ser mantido em segredo. A propriedade de exclusividade
é aplicado em uma unidade de armazenamento de tipo de item; ou seja, os números de série de todos os HOTP
os dispositivos devem ser únicos, os números de série de todos os dispositivos TOTP devem ser únicos e se
contas para os dois tipos de dispositivo são combinados, todos os números de série do dispositivo devem ser
único. Qualquer string imprimível é aceita. Se um cliente de software está gerando
senhas, você pode usar o número de série do dispositivo ou escolher qualquer
string ainda não atribuída a um dispositivo.
Note
Uma jurisdição que permite (ou pode eventualmente permitir) tokens de hardware e
aplicativos de cliente geradores de software devem considerar a adoção de um formalizado
esquema de nomenclatura para seus tokens. Por exemplo, o administrador pode acrescentar "-hw" a
o número de série do fornecedor para formar o Dacstoken número de série. Para software
tokens, o administrador pode criar um Dacstoken número de série anexando
"-sw" para o número de série do fornecedor do dispositivo.
-totp-delta Números
Ajuste o tempo base por Números intervalos (cada um do número de tamanho do passo de segundos) quando
computando um TOTP. O Números pode ser negativo, zero ou positivo. Isso é usado para corrigir
para relógios inadequadamente sincronizados.
-totp-drift Windows
Para TOTP, use um tamanho de janela de Windows (em termos do tamanho do intervalo) para
validação. Se Windows is 0, o valor de TOTP calculado deve corresponder ao dado
exatamente. Se Windows is 1, Por exemplo, Dacstoken tentará corresponder ao TOTP fornecido
valor nos intervalos anterior, atual e próximo. Isso permite que os relógios no
sistema funcionando Dacstoken (ou local_token_authenticate) e dispositivo de produção de tokens para
ser menos bem sincronizado.
Segurança
Embora compense relógios mal sincronizados, aumentando o valor de
Windows enfraquece o sistema ao estender a vida útil de uma senha descartável.
-totp-hash alg
Use alg como o algoritmo de resumo com TOTP. O valor de alg está restrito a (caso
insensível) SHA1 (o padrão), SHA256 ou SHA512.
-totp-timestep seg
Use seg como o tamanho do intervalo ao calcular um TOTP. Deve ser maior que zero. O
padrão é 30 segundos.
Segurança
Embora compense relógios mal sincronizados, aumentando o valor de
seg enfraquece o sistema ao estender a vida útil de uma senha descartável.
-vfs vfs_uri
Use vfs_uri para substituir o VFS[33] diretiva de configuração em vigor. Isso pode ser
usado para configurar ou reconfigurar auth_token, auth_hotp_token ou auth_totp_token para
especifique o método de armazenamento para as contas que estão sendo tratadas.
Além das mensagens de erro, que são impressas com o erro padrão, toda a saída vai para o
saída padrão.
Normalmente, um dacopção será especificado para selecionar a jurisdição em nome da qual
contas estão sendo gerenciadas.
EXEMPLOS
Esses exemplos presumem que o nome da jurisdição a ser usado é EXAMPLE e sua federação
o domínio é example.com.
Para usar este método de autenticação, um DACS o administrador pode executar as seguintes etapas
para cada dispositivo OTP atribuído a um usuário:
1. Obtenha um token compatível, revise como ele é usado para autenticação e selecione os valores
para os vários parâmetros. Obtenha a chave secreta do dispositivo com o fornecedor; por
um dispositivo programável, selecione uma chave aleatória adequada e programe-a no dispositivo.
Os valores atuais do contador também podem ser obtidos do fornecedor, embora seja
provavelmente inicializado em zero; para um dispositivo programável, defina o valor do contador para
zero. Decida se um PIN será necessário (consulte TOKEN_REQUIRES_PIN[9]). Se um software
cliente está sendo usado, instale o software no dispositivo do usuário (ou peça que o usuário faça
então) e configure o software.
2. Decida onde as informações da conta serão armazenadas e, se necessário, adicione um apropriado
VFS[33] diretiva para dacs.conf. O padrão (encontrado em site.conf) mantém a conta
informações em um arquivo denominado auth_tokens dentro do padrão privado de cada jurisdição
área:
VFS "[auth_token] dacs-kwv-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_tokens "
3. Gere chaves para criptografar as informações da conta (consulte Tokens e segredo chaves[34]) e
decidir onde eles serão armazenados; por exemplo (seu ID de usuário, ID de grupo, caminho,
o nome da jurisdição e o domínio da federação podem variar):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXEMPLO -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Se necessário, adicione um adequado VFS[33] diretiva para dacs.conf; o padrão, que é
usado acima, mantém as informações da conta em um arquivo denominado auth_token_keys dentro
área privada padrão de cada jurisdição:
VFS "[auth_token_keys] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_token_keys "
4. Se você precisar que os usuários façam login através do dacs_authenticate(8)[2], você deve configurar um
cláusula Auth adequada em dacs.conf, por exemplo:
URL "token"
ESTILO "passe"
CONTROLE "suficiente"
5. Existem várias maneiras de um administrador proceder, dependendo de quanto
o esforço pode ser feito pelos usuários (por exemplo, se eles podem ser confiáveis, seus dados técnicos
capacidade), quantos usuários existem (alguns ou milhares) e o nível de segurança
necessário.
1. preparar um arquivo contendo um XML registro[35] para cada conta a ser criada; E se
Os PINs devem ser usados, atribua um PIN aleatório a cada conta;
2. use o -importar[36] bandeira para criar as contas;
3. forneça o dispositivo de token, nome de usuário e (se necessário) PIN inicial para o usuário
(talvez verificando a identidade), fornecendo qualquer demonstração necessária e
instruções;
4. faça com que o usuário defina ou redefina o PIN da conta e peça ao usuário para fazer login
usando o token para confirmar a operação correta.
Para criar uma conta desabilitada para o usuário bobo para um dispositivo HOTP:
% dacstoken -uj EXEMPLO -mode hotp -serial 37000752 -key-file bobo.key -create bobo
A chave secreta da conta (que ainda não deve existir) é lida do arquivo
bobo.key. Novas contas são desabilitadas por padrão; usar -habilitar para criar uma conta habilitada.
Depois que uma conta é criada, ela pode ser sincronizada com o token. Para sincronizar
o token HOTP para o usuário bobo:
% dacstoken -uj EXEMPLO -sync 433268,894121,615120 bobo
Neste exemplo, o token específico produziu as três senhas consecutivas 433268,
894121 e 615120. Observe que a string de sequência de senha que segue o -sincronizar bandeira é
um único argumento que não pode ter nenhum espaço incorporado. Se a chave para este token for
19c0a3519a89b4a8034c5b9306db, a próxima senha gerada por este token deve ser 544323
(com valor de contador 13) Isso pode ser verificado usando -hotp-show:
% dacstoken -hotp-show 5 -contador 10 -chave 19c0a3519a89b4a8034c5b9306db
000000000000000a:433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Para habilitar a conta para o usuário bobo:
% dacstoken -uj EXEMPLO -enable -set bobo
Para definir o PIN e habilitar a conta para o usuário bobo:
% dacstoken -uj EXEMPLO -enable -pin "CzAy" -set bobo
Para listar todas as contas em detalhes:
% dacstoken -uj EXEMPLO -long
A -Lista sinalizador é redundante porque é a operação padrão. O -modo, -contador, etc.
modificadores não têm efeito ao listar.
Para listar apenas a conta de bobo:
% dacstoken -uj EXEMPLO -list bobo
O status de saída será diferente de zero se este usuário não tiver uma conta.
Para exibir a conta do dispositivo com número de série 37000752:
% dacstoken -uj EXEMPLO -serial 37000752
O número de série, que deve identificar exclusivamente um token, costuma ser impresso no token
ou pode ser exibido pelo token.
Para definir o valor do contador para a conta existente de bobo:
% dacstoken -uj EXEMPLO -counter 9 -set bobo
Esta operação pode ser usada para teste ou com um token de software. O -sincronizar operação é
mais apropriado para um token de hardware.
Para alterar o PIN do nome de usuário bobo:
% dacstoken -uj EXEMPLO -pin-prompt -set bobo
O programa solicitará o novo PIN.
Para usar um arquivo de conta alternativo, / secure / auth_tokens:
% dacstoken -uj EXEMPLO -vfs "dacs-kwv-fs: / secure / auth_tokens" -list
Para usar novas chaves (fazendo as mesmas suposições anteriores), adicione uma diretiva VFS adequada para
dacs.conf; o padrão define o tipo de item auth_token_keys_prev da seguinte maneira:
VFS "[auth_token_keys_prev] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} /auth_token_keys.prev "
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXEMPLO -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXEMPLO -inkeys auth_token_keys.prev -set
DIAGNÓSTICO
O programa sai de 0 ou 1 se ocorrer um erro.
Use o dacstoken online usando serviços onworks.net
