Aceasta este comanda dacsauth care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
dacsauth - verificare de autentificare
REZUMAT
dacsauth [-m auth-module-spec] [...] [-r roluri-modul-spec] [...] [-Ddirectivă=valoare]
[-aux]
[-fj jurname] [-fn fedname] [-h | -Ajutor] [-id] [-ll log_level]
[-p parola]
[-pf fişier] [-prompt] [-q] [{-u | -utilizator} nume de utilizator] [-v]
dacsauth-module
DESCRIERE
Acest program face parte din DACS pe.
dacsauth utilitatea testează dacă materialul de autentificare dat satisface autentificarea
cerințe și indică rezultatul prin starea de ieșire a procesului. Este similar cu
dacs_authenticate(8)[1] și dacscred(1)[2].
dacsauth oferă o modalitate pentru scripturi și alte programe de a utiliza DACS autentificare
infrastructură. Ei ar putea folosi autentificarea cu succes ca o formă grosieră de
autorizare; numai unui utilizator care furnizează o parolă corectă i se poate permite să ruleze
program, de exemplu. Sau ar putea returna un anumit tip de acreditări după succes
autentificare, sau poate folosire dacs_auth_agent(8)[3] să se întoarcă DACS datele de conectare.
dacsauth poate fi folosit și pentru a prelua informații despre rol asociate unui anumit utilizator.
dacsauth nu citește niciunul DACS fișierele de configurare. Tot ce este necesar pentru efectuarea testului
trebuie specificat ca argument.
varful
If dacsauth folosește un modul încorporat pentru a efectua autentificare sau pentru a căuta roluri, Nu.
serverul component is necesar. Aceasta înseamnă că poți folosi dacsauth fără să trebuiască
accesați sau chiar configurați un server web, inclusiv Apache.
OPŢIUNI
Următoarele steaguri de linie de comandă sunt recunoscute. Cel puțin unul -m steag (a executa
testare de autentificare), sau cel puțin una -r trebuie specificat flag (pentru a forma un rol
șir de descriptor pentru identitate și tipăriți-l în stdout). O combinație a ambelor steaguri este
permis, caz în care un șir de descriptor de rol este scos numai dacă testul de autentificare
este de succes.
-Ddirectivă=valoare
Aceasta este echivalentă cu setarea directivă, un general DACS directiva de configurare, la
valoare. Vedea dacs.conf(5)[4].
-aux
Următorul șir oferit de -p, -pf, Sau -prompt steag va fi valoarea lui
AUXILIAR argument de autentificare. Aceasta oferă o modalitate sigură de a trece sensibil
informații auxiliare, cum ar fi un PIN, pentru program. Un steag pentru a obține parola,
dacă există, trebuie să precedă acest flag pe linia de comandă.
-fj jurname
Utilizare jurname, care trebuie să fie valid din punct de vedere sintactic, ca denumire a jurisdicției. Dacă este necesar
dar nu este furnizată, va fi utilizată o valoare derivată din numele de domeniu al gazdei.
-fn fedname
Utilizare fedname, care trebuie să fie valid din punct de vedere sintactic, ca nume de federație. Dacă este necesar
dar nu este furnizată, va fi utilizată o valoare derivată din numele de domeniu al gazdei.
-h
-Ajutor
Afișați un mesaj de ajutor și ieșiți.
-id
Dacă a reușit, imprimați documentul autentificat DACS identitate la ieșirea standard.
-ll log_level
Setați nivelul de ieșire de depanare la log_level (A se vedea dacs(1)[5]). Nivelul implicit este
a avertiza.
-m auth-module-spec
Fiecare tip de test de autentificare care este necesar este descris de un auth-module-spec
care urmează imediat -m steag. Fiecare auth-module-spec este în esență un
reprezentare alternativă a unui AUTH clauză[6] și directivele sale, care sunt utilizate de
dacs_authenticate(8)[1]. La fel ca ordinea în care apar clauzele Auth în a DACS
fișier de configurare, ordinea în care -m apariția steagurilor poate fi semnificativă,
depinzând de Control Cuvinte cheie. În timpul procesării, succesive -m componentele sunt
nume atribuite automat, auth_module_1, auth_module_2 și așa mai departe, în principal pentru
scopuri de raportare a erorilor.
An auth-module-spec are următoarea sintaxă:
modul începe fie cu numele unui modul încorporat, fie cu o abreviere validă
acestuia sau adresa URL (absolută) a unui modul de autentificare extern (echivalent cu
il URL-ul[7] directivă). În continuare trebuie să apară un cuvânt cheie de stil de autentificare recunoscut
specificatorul (echivalent cu STYLE[8] directivă). În continuare, cel Control urmează cuvântul cheie,
care este identic cu cel CONTROL[9] directiva din clauza Auth. După Control
cuvânt cheie, steaguri descrise mai jos pot urma, în orice ordine.
An auth-module-spec se termină când este primul steag nevalid (sau sfârșitul steagurilor).
întâlnite.
-O steag este echivalent cu un OPȚIUNE[10] directivă.
-De flag este urmat de un argument care este numele unui fișier din care se citește
opțiuni, câte una pe linie, în format nume=valoare. Linii goale și linii care încep cu
un „#” este ignorat; rețineți că aceste rânduri nu încep cu „-O” și ghilimele sunt pur și simplu
copiat și neinterpretat. The -De flag poate fi folosit pentru a evita introducerea parolelor
linia de comandă și facilitează scrierea expresiilor pe care altfel le-ar avea
să fie scăpat cu grijă pentru a preveni interpretarea de către cochilie, de exemplu.
-expr steag este echivalent cu exp[11] directivă. The -vfs steag este folosit pentru
configura VFS[12] directive cerute de acest modul.
-module
Afișează o listă de module de autentificare încorporate și module de roluri, câte unul pe linie și
apoi iesi. Numele modulului canonic este tipărit, urmat de zero sau mai multe echivalente
abrevieri. Pentru modulele de autentificare, este afișat stilul de autentificare. A lista
modulele disponibile, executați comanda:
% dacsauth -module
Se stabilește setul de module de autentificare și roluri încorporate disponibile (activate).
cand DACS este construit.
-p parola
Specificați parola de utilizat (echivalentă cu PAROLA argument pentru
dacs_authenticate).
Securitate
O parolă dată pe linia de comandă poate fi vizibilă pentru alți utilizatori de pe aceeași
sistemului.
-pf fişier
Citiți parola de utilizat de la fişier (echivalent cu PAROLA argument pentru
dacs_authenticate). dacă fişier este „-”, atunci parola este citită de la intrarea standard
fără îndemnuri.
-prompt
Solicitați parola și citiți-o din stdin (echivalent cu PAROLA argument pentru
dacs_authenticate). Parola nu are ecou.
-q
Fii mai liniștit prin reducerea nivelului de ieșire de depanare.
-r rol-modul-spec
Roluri pentru nume de utilizator poate fi determinat dând acest steag, care este imediat
urmată de a roluri-modul-spec. -r steag poate fi repetat, iar rolurile rezultate
sunt combinate. Fiecare roluri-modul-spec este în esență o reprezentare alternativă a lui a
Clauza de roluri care este folosită de dacs_authenticate(8)[13]. Succesiv -r componentele sunt
nume atribuite, roles_module_1, roles_module_2 și așa mai departe, în principal pentru raportarea erorilor
scopuri.
A roluri-modul-spec are următoarea sintaxă:
modul componenta este echivalentă cu cea a clauzei Roles URL-ul[14] directivă și este
fie numele unui modul de roluri încorporat disponibil, o abreviere validă a acestuia,
sau adresa URL (absolută) a unui modul de roluri externe.
Steaguri pot urma modul componentă, în orice ordine. A roluri-modul-spec se termină când
este întâlnit primul steag nevalid (sau sfârșitul steagurilor).
-O steag este echivalent cu un OPȚIUNE[10] directivă.
-De flag este urmat de un argument care este numele unui fișier din care se citește
opțiuni, câte una pe linie, în format nume=valoare. Linii goale și linii care încep cu
un „#” este ignorat; rețineți că aceste rânduri nu încep cu „-O” și ghilimele sunt pur și simplu
copiat și neinterpretat. The -De flag poate fi folosit pentru a evita introducerea parolelor
linia de comandă și facilitează scrierea expresiilor pe care altfel le-ar avea
să fie scăpat cu grijă pentru a preveni interpretarea de către cochilie, de exemplu.
-expr steag este echivalent cu exp[11] directivă. The -vfs steag este folosit pentru
configura VFS[12] directive cerute de modul.
-u nume de utilizator
-utilizator nume de utilizator
Numele de utilizator pentru a se autentifica (echivalent cu USERNAME argument pentru
dacs_authenticate). Acest nume de utilizator este asociat implicit cu efectul
federație și jurisdicție (vezi -fn[15] și -fj[16] steaguri).
-v
-v flag ridică nivelul de ieșire de depanare la depanare sau (dacă este repetat) urmărire.
EXEMPLE
Securitate
If dacsauth folosește un modul încorporat pentru a efectua autentificare, trebuie să ruleze setuid sau
setgid pentru a obține suficiente privilegii pentru a accesa fișierul de parole solicitat (același
este valabil pentru modulele de roluri încorporate). Dacă folosește un modul extern, acel modul o va face
trebuie să executați cu suficiente privilegii pentru a accesa DACS chei criptografice,
în special federation_keys și, eventual DACS sau fișiere cu parole de sistem; cel extern
modulul va trebui apoi să se execute cu privilegii suficiente pentru a accesa orice fișiere
impune.
Asigurați-vă că utilizați cheile de federație care sunt corecte pentru federația dvs. Referire
modulele de autentificare din două sau mai multe federații probabil nu vor funcționa.
dacsauth Prin urmare, nu ar trebui să ruleze în mod obișnuit ca UID-ul utilizatorului care îl invocă
(cu excepția cazului în care se întâmplă să fie root), deoarece nu va putea accesa informațiile
necesita. Acest lucru va împiedica, de asemenea, un utilizator să „trișeze” (de exemplu, prin atașarea la
modul de rulare cu un depanator).
Acest exemplu autentifică utilizatorul „bobo” cu parola „test” împotriva DACS fișier cu parole
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd passwd necesar
-vfs „[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd” -q -u bobo -p test
Dacă starea de ieșire a comenzii este zero, testul de autentificare a reușit, în caz contrar
a eșuat.
Următorul exemplu încearcă să autentifice „bobo” împotriva fișierului ei de parolă Unix. The
programul solicită parola.
% dacsauth -m unix passwd necesar -u bobo -prompt
În exemplul următor, dacsauth încearcă să autentifice „bobo” prin NTLM activat
winders.example.com:
% dacsauth -m ntlm passwd suf -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Acest exemplu este similar cu cel anterior, cu excepția faptului că un modul de autentificare extern
este folosită și parola este citită dintr-un fișier. Din cauza modulului extern, suplimentar
trebuie furnizată configurația; în special, locația cheilor_federației și
trebuie specificate numele federațiilor și jurisdicțiilor.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd suficient -OSAMBA_SERVER="winders.example.com" \
-fn EXEMPLU -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
Pentru a se autentifica împotriva Google[17] cont [e-mail protejat], s-ar putea folosi:
% dacsauth -m http passwd suf \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=E-mail -OPASSWORD_PARAMETER=Parola \
-Oservice=xapi -Osource=DSS-DACS-1.4 -prompt -u [e-mail protejat]
În exemplul următor, o expresie este evaluată pentru a determina dacă autentificarea
ar trebui să reușească. Utilizatorului ("bobo") i se solicită o parolă. Doar dacă șirul „foo” este
dat va reuși autentificarea. Un exemplu mai realist ar putea apela la un alt program
ajuta la determinarea, de exemplu.
% dacsauth -m expr expr suffi\
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
Autentificare împotriva unui Apache htdigest fișierul de parolă se realizează în cele ce urmează
exemplu, unde parola este citită din stdin:
% ecou „test” | dacsauth -m apache digest suficient \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="DACS Digest Auth Area" \
-u bobo -pf -
Autentificarea prin modulul PAM funcționează diferit față de celelalte module - și este mai mult
complicat de folosit – pentru că dacsauth poate fi necesar să fie rulat de mai multe ori, în funcție de ce
informațiile necesare PAM. În loc să returnați o decizie da/nu, dacsauth poate tipări
solicită mai multe informații către stdout. Vă rugăm să examinați detaliile operaționale prezentate în
dacs_authenticate(8)[18] și pamd(8)[19] înainte de a încerca să utilizați acest modul.
Următorul exemplu demonstrează utilizarea modulului din linia de comandă. Odată de bază
ideile sunt înțelese, ar trebui să fie evident cum să scrieți un scenariu pentru a realiza
iterațiile necesare. Este posibil ca detaliile din exemplu, cum ar fi căile, să fie ajustate
mediul tău. Rețineți că în acest exemplu numele de utilizator nu este specificat prima dată
dacsauth este rulat, deși ar putea fi dacă ar fi cunoscut.
% dacsauth -m pam solicitat suficient \
-vfs „[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys” \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj EXEMPLU -fn TEST
AUTH_PROMPT_VAR1="Autentificare:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam solicitat suficient \
-vfs „[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys” \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Parola:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam solicitat suficient \
-vfs „[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys” \
-OAUTH_PROMPT_VAR2="parolă" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Prima dată dacsauth este rulat în exemplu, returnează o solicitare pentru numele de utilizator
("Login:") care este asociat cu variabila tranzacție AUTH_PROMPT_VAR1 și
identificatorul tranzacției (AUTH_TRANSID). Acesta din urmă trebuie trecut la următorul
executii ale dacsauth. A doua rundă de dacsauth trece numele de utilizator ("bobo") și
returnează un alt prompt ("Parolă:") care este asociat cu variabila tranzacție
AUTH_PROMPT_VAR2. A treia rulare trece parola ("apassword"), dar nicio solicitare nu este
returnat, indicând faptul că sesiunea este completă și starea de ieșire a programului reflectă
rezultatul autentificării.
varful
Dacă dacsauth necesită o parolă pentru a prelua roluri depinde de anumite roluri
modul utilizat. De exemplu, o parolă nu este necesară de local_unix_roles[20] sau
roluri_locale[21] pentru a obține roluri, dar local_ldap_roles[22] va avea nevoie probabil de a
parola pentru a se lega la director și a obține roluri.
Acest exemplu tipărește șirul de rol pentru utilizatorul „bobo” apelând sistemul încorporat
local_unix_roles[20] modul:
% dacsauth -r unix -u bobo
bobo,wheel,www,utilizatori
Următorul exemplu este similar cu cel anterior, cu excepția utilizării unui modul de roluri externe:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn EXEMPLU -u bobo
bobo,wheel,www,utilizatori
Modulul de roluri externe poate fi executat pe o altă gazdă decât cea care rulează
dacsauth. Prevăzut dacsauth a fost instalat și există un fișier federation_keys corespunzător
disponibil pe gazda locală, gazda locală nu trebuie să fie a DACS jurisdicție sau au vreuna
alte DACS configurare.
Următorul exemplu tipărește rol şir[23] pentru utilizatorul „bobo”, cunoscut în cadrul
directorul cu numele comun „Bobo Baggins”, folosind (extern) local_ldap_roles[22]
modul și metoda de legare „directă”:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_direct -u „Bobo Baggins” \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn EXEMPLU -fj FEDROOT -prompt
DnsAdmins,Print_Operators,Domain_Admins,Administratori
Deoarece există prea multe steaguri pentru a le plasa ușor și corect pe linia de comandă, the
opțiunile necesare pentru a face acest lucru sunt citite dintr-un fișier care este specificat de -De steag.
Aceasta oferă, de asemenea, o modalitate mai sigură de a transmite parolele programului; asigura acel acces
la fișier este restricționat corespunzător. Fișierul
/usr/local/dacs/ldap_roles_options_direct poate conține o configurație ca aceasta:
LDAP_BIND_METHOD=direct
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . „,CN=Utilizatori,DC=exemplu,DC=com”
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf"? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_"): ""
Următorul exemplu este ca cel anterior, cu excepția faptului că folosește legarea „indirectă”.
metoda și, prin urmare, nu trebuie să i se dea numele comun al utilizatorului:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn EXEMPLU -fj FEDROOT -p bobosparolă
DnsAdmins,Print_Operators,Domain_Admins,Administratori
Fișierul /usr/local/dacs/ldap_roles_options_indirect poate conține configurații precum
acest:
LDAP_BIND_METHOD=indirect
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Administrator,CN=Utilizatori,DC=example,DC=com
# Căutați în Utilizatori...
LDAP_SEARCH_ROOT_DN=CN=Utilizatori, DC=exemplu, DC=com
LDAP_ADMIN_PASSWORD=ParolaSecretă Admin
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf"? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_"): ""
Să presupunem că cineva a vrut să folosească dacsauth pentru a autentifica un utilizator prin LDAP într-un mod analog cu
această configurație dacs.conf:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE „parolă,adăugați_roluri”
CONTROL „necesar”
LDAP_BIND_METHOD „direct”
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Utilizatori,dc=exemplu,dc=local"'
LDAP_USERNAME_EXPR* „${LDAP::sAMAccountName}””
LDAP_ROLES_SELECTOR* „${LDAP::attrname}” eq „memberOf” \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_"): ""'
Un fișier ca acesta (de exemplu, /usr/local/dacs/ldap_auth_options_direct) ar conține
următoarele directive:
LDAP_BIND_METHOD=direct
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . „,cn=Utilizatori,dc=exemplu,dc=local”
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_"): ""
Autentificarea ar putea fi apoi efectuată folosind o comandă ca aceasta:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd suf \
-Of /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn EXEMPLU -u bobo -prompt
DIAGNOSTIC
Programul iese 0 dacă autentificarea a avut succes sau cu 1 dacă autentificarea a eșuat sau
a aparut o eroare.
Utilizați dacsauth online folosind serviciile onworks.net
