Aceasta este comanda dacstoken care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
dacstoken - administrați parole unice bazate pe hash
REZUMAT
dacstoken [dacsoptions[1]] [-toate] [-baza o] [-tejghea o] [-cifre o]
[-dezactivare | -permite] [-fereastră hotp o] [- chei categorie de obiect]
[[-cheie keyval] | [-fișier-cheie nume de fișier] | [-cheie-prompt,-modul modul otp]
[-outkeys categorie de obiect]
[[-Pini pinval] | [-file-pin nume de fișier] | [-pin-prompt,-pin-constrângeri str]
[-rnd] [-samanta str] [-serial str] [-totp-delta o] [-totp-drift nwindows]
[-totp-hash ALG]
[-totp-timestep secunde] [-vfs vfs_uri] [op-spec] [nume de utilizator]
DESCRIERE
Acest program face parte din DACS pe.
dacstoken utilitatea administrează DACS conturi asociate cu o parolă unică (OTP)
dispozitive generatoare (jetoane) sau clienți bazați pe software. Folosind opțiunile din linia de comandă, de asemenea
calculează valorile OTP; Parametrii contului indicativ pot fi suprascriși, dar conturile nu sunt egale
necesar.
O autentificare puternică cu doi factori poate fi furnizată atunci când dacs_authenticate[2] este configurat
să folosească local_token_authenticate[3] modul de autentificare sau când dacstoken este folosit ca
un program independent pentru validarea parolelor. Atât modul de parolă unică bazat pe HMAC
(HOTP), bazat pe un contor de evenimente și specificat de RFC 4226[4] și cea bazată pe timp
modul de parolă unică (TOTP), așa cum este specificat de Ultimele IETF Internet-Ciornă[5] propunere,
sunt acceptate. Suplimentar operațional moduri de[6] numit OCRA (JURĂMÂNT Răspuns la provocare
Algoritmi), descrise într-un Internet-Draft IETF, nu sunt încă pe deplin acceptate.
notițe
Această versiune a dacstoken încorporează multe modificări care nu sunt compatibile cu versiunea inversă
cu versiunea 1.4.24a și anterioară. Unele steaguri de linie de comandă funcționează diferit și
formatul fișierului de cont s-a schimbat. Dacă ați folosit această comandă mai devreme
versiuni, vă rugăm să faceți o copie de rezervă a fișierului contului de simbol și să citiți acest manual
pagina cu atenție înainte de a continua (rețineți că -convertit steag[7] în special).
Important
Nu este necesar niciun software furnizat de furnizor dacstoken pentru a-i furniza funcționalitatea. The
dispozitivele acceptate în prezent nu au nevoie de nicio interacțiune de înregistrare sau configurare
cu vânzătorii și dacstoken face nu interacţiona cu vânzătorilor servere or utilizare Orice
proprietate software-ul. Software-ul furnizat de furnizor poate fi necesar pentru a funcționa
inițializarea sau configurarea pentru alte dispozitive token, totuși și dacstoken face
nu le oferă un astfel de sprijin.
Fiecare dispozitiv cu simboluri corespunde, în general, exact unui cont care este gestionat de
dacstoken, deși unii vânzători produc jetoane care pot accepta mai multe conturi.
Pentru a rezuma, acest utilitar:
· creează și administrează DACS conturi asociate cu contoare și bazate pe timp
parole unice
· oferă funcționalitate de validare și testare
· oferă o capacitate de autentificare în linie de comandă
Securitate
Doar DACS administratorul ar trebui să poată rula cu succes acest program din
Linie de comanda. pentru că DACS cheile și fișierele de configurare, inclusiv fișierul folosit
conturile de magazin, trebuie să fie limitate la administrator, acesta va fi în mod normal
caz, dar un administrator atent va seta permisiuni de fișier pentru a refuza accesul tuturor
alți utilizatori.
notițe
dacs_token(8)[8] serviciul web oferă utilizatorilor un autoservire limitat
funcționalitate pentru a seta sau reseta PIN-ul contului și pentru a-și sincroniza simbolul. De asemenea
are un mod demonstrativ pentru a simplifica testarea și evaluarea.
PIN-urile (Cont parole)
A dacstoken contul poate avea, opțional, un PIN (adică o parolă) asociat. La
autentificați împotriva unui astfel de cont, un utilizator trebuie să furnizeze parola unică produsă
pe cale și PIN-ul. The TOKEN_REQUIRES_PIN[9] directiva de configurare determină
dacă trebuie furnizat un PIN la crearea sau importul unui cont; nu se aplica in
împreună cu -delpin flag, deoarece numai un administrator ar trebui să poată efectua
acea funcție.
Un hash al PIN-ului este stocat în înregistrarea contului, mai degrabă decât PIN-ul în sine. La fel
metoda folosita de dacspasswd(1)[10] și dacs_passwd(8)[11] se aplică și depinde de
PASSWORD_DIGEST[12] și PASSWORD_SALT_PREFIX[13] directive în vigoare. Dacă
PASSWORD_DIGEST[12] este configurat, se folosește acel algoritm, altfel un timp de compilare
implicit (SHA1) este utilizat. Dacă un utilizator uită PIN-ul, cel vechi nu poate fi recuperat
trebuie fie șters, fie setat unul nou.
Unele dispozitive cu simboluri au o capacitate PIN încorporată. Utilizatorul trebuie să introducă un PIN în
dispozitivul înaintea dispozitivului va emite o parolă unică. Acest „PIN dispozitiv” este
complet diferit de PIN-ul contului care este gestionat de dacstoken, iar acest manual este
preocupat doar de dacstoken PIN. PIN-ul dispozitivului trebuie folosit întotdeauna atunci când este posibil;
il dacstoken PIN-ul este foarte recomandat și este necesar pentru autentificarea cu doi factori
(cu excepția cazului în care un factor de autentificare suplimentar este aplicat într-un alt mod).
Deoarece numai administratorul are voie să ruleze această comandă, nu sunt impuse restricții
asupra lungimii sau calității PIN-urilor pe care le furnizează administratorul; un mesaj de avertizare
va fi emisă, totuși, dacă parola este considerată slabă, așa cum este determinat de
PASSWORD_CONSTRAINTS[14] directivă.
O data Parolele
Ambele tipuri de dispozitive cu parolă unică calculează valoarea unei parole utilizând un dispozitiv securizat
algoritm hash cu cheie (RFC 2104[15], FIPS 198[16]). În metoda bazată pe contor, dispozitivul
și serverul partajează o cheie secretă și o valoare de contor care sunt indexate pentru a produce o valoare numerică
valoare afișată într-o anumită rază cu un anumit număr de cifre. De succes
autentificarea necesită ca dispozitivul și serverul să calculeze parolele care se potrivesc. De fiecare dată când
dispozitivul produce o parolă, își crește contorul. Când serverul primește o potrivire
parola, își crește contorul. Pentru că este posibil ca cele două contoare să devină
nesincronizat, algoritmul de potrivire al serverului va permite de obicei parola unui client
a se încadra într-o „fereastră” a valorilor de contor. Metoda bazată pe timp este similară, principala
diferența fiind că ora curentă Unix (așa cum este returnată de timp(3)[17], de exemplu) este
folosit pentru a stabili o „fereastră de pas de timp” care servește ca valoare de contor în calcul
a hashului securizat. Deoarece ceasurile în timp real de pe dispozitiv și server ar putea să nu fie
suficient de sincronizat, algoritmul de potrivire al serverului trebuie să permită și un client
parola să se încadreze într-un anumit număr de intervale de timp pentru aceste dispozitive.
Securitate
Un jeton i se poate atribui o cheie secretă permanentă (uneori numită semințe OTP) de către acesta
producătorul sau cheia poate fi programabilă. Această cheie secretă este folosită de token-ul
procedura de generare a parolei și este esențial ca aceasta să fie păstrată privată. Dacă jetonul
nu este programabilă, cheia este obținută de la furnizor (pentru un jeton HOTP, de obicei
furnizând numărul de serie al dispozitivului și oricare trei parole consecutive). O înregistrare
fiecare mapare de la numărul de serie la cheia secretă trebuie păstrată într-o locație sigură.
Dacă cheia secretă este programabilă, așa cum este probabil să fie cu un client software, este
necesar să fie cel puțin 128 biți în lungime; un minim de 160 biţi este recomandat.
cheia este reprezentată de un șir hexazecimal de 16 (sau mai multe) caractere. Cheia ar trebui
să fie obținute dintr-o sursă de calitate criptografică de biți aleatori. Unii clienți pot fi
capabil să genereze o cheie adecvată, dar puteți utiliza dacsexpr(1)[18]:
% dacsexpr -e „aleatoriu(șir, 20)”
"bb2504780e8075a49bd88891b228fc7216ac18d9"
varful
Tokenurile pot fi folosite în alte scopuri de autentificare decât conectarea la computer. Pentru
de exemplu, prin furnizarea unui număr de cont, PIN și valoare indicativă, clienții pot face rapid
fi autentificat prin telefon, reducând sau eliminând nevoia de scump și
întrebări de securitate consumatoare de timp.
Dispozitivele și aplicațiile cu parolă unică au următorii parametri operaționali.
Acești parametri determină secvența de parole care este generată. Unele operaționale
parametrii pot fi fixați (prin standardul relevant sau datorită implementării), în timp ce
altele pot fi parțial sau complet configurabile de către utilizator. Vă rugăm să consultați
referințe și documentația producătorilor pentru detalii.
de bază
Raza în care sunt afișate parolele.
contracara
Numai pentru modul HOTP, valoarea curentă a contorului.
cifre
Numărul de cifre din fiecare parolă unică.
cheie
Cheia secretă (seed OTP).
număr de serie
Un identificator sau un nume unic pentru dispozitiv.
dimensiunea pasului de timp
Numai pentru modul TOTP, lățimea fiecărui interval de timp, în secunde. Aceeași parolă
va fi generat într-un interval dat; adică, aceasta este „durata de viață” sau valabilitatea
perioada fiecărei parole TOTP.
Pe lângă acești parametri, dacstoken folosește mai multe per cont (adică pe dispozitiv)
parametri:
fereastră de acceptare
La validarea unei parole HOTP, numărul maxim de parole de luat în considerare după
parola așteptată.
derivă
Numai pentru modul TOTP, numărul de secunde pentru ajustarea ceasului serverului
înainte sau înapoi pentru a o sincroniza mai bine cu dispozitivul. Aceasta este obișnuită
compensați token-urile sau software-ul client cu ale căror ceasuri nu sunt bine sincronizate
a serverului.
fereastră în derivă
Numai pentru modul TOTP, dar analog cu fereastra de acceptare, numărul maxim de
intervale (fiecare din dimensiunea pasului de timp) pentru a căuta înainte și înapoi la validare
față de o anumită parolă.
sincronizare-otps
Numai pentru modul HOTP, numărul de parole unice consecutive necesare
sincronizați contul cu dispozitivul.
nume de utilizator
Numele DACS cont legat de dispozitiv.
Autentificarea bazată pe dispozitive cu parolă unică are următoarele avantaje:
· De fiecare dată când un utilizator se autentifică, va fi generată o parolă diferită (cu high
probabilitate); Prin urmare, utilizatorii nu pot nota „parola”, deoarece parola este
mereu în schimbare; utilizatorii nu își pot uita parola;
· Odată folosită, o parolă pentru modul HOTP este imediat „consumată” și este puțin probabil să fie utilizată
din nou pentru o lungă perioadă de timp; cu parametri de configurare adecvați, o parolă pentru modul TOTP
automat „expiră” într-un interval de timp relativ scurt și este puțin probabil să fie
folosit din nou pentru o lungă perioadă de timp;
· Dacă nu este necesară nicio corecție pentru deviația ceasului, un cont în modul TOTP poate avea doar citire
operațiune;
· Deoarece este puțin probabil ca parola să fie un număr sau un șir ușor de ghicit, ar trebui
să fie mai puternice decât majoritatea parolelor selectate de utilizator;
· Un token HOTP poate sta la baza unei metode de autentificare reciprocă („bidirecțională”); cel
serverul arată utilizatorului următoarea parolă a jetonului său pentru a-i confirma identitatea (cu ambele
părțile avansând contoarele), apoi clientul arată serverului următoarea parolă
să-și confirme identitatea;
· În cazul în care un sniffer de cheie este instalat pe computerul utilizatorului, o parolă sniffer nu
face un atacator orice bine, cu excepția cazului în care a bărbatul din mijloc ataca[19] este posibil; dat N
parole consecutive este încă foarte greu de calculat parola N + 1 fără
cunoașterea cheii secrete;
· Este mai dificil pentru utilizatori să partajeze un cont (deși uneori utilizatorii pot
consideră acest lucru ca pe un inconvenient);
· În cazul în care o dacstoken PIN-ul este alocat unui cont și un atacator îl obține pe cont
token, este încă dificil pentru atacator să se autentifice fără să cunoască PIN-ul;
· O modalitate rapidă și imediată eficientă de a dezactiva un cont este prin simpla confiscare a unui cont
Token hardware (de exemplu, dacă un angajat este concediat), deși un cont poate fi dezactivat de
acest program sau folosind anulare listă[unu];
· În cazul unui client software care rulează pe un dispozitiv mobil, cum ar fi un telefon sau un PDA,
utilizatorii poartă deja dispozitivul cu ei; clienți gratuiti sunt disponibili, deci acolo
poate fi fără costuri suplimentare (rețineți că dispozitivele mobile pot să nu ofere același lucru
rezistența la manipulare, durabilitatea, secretul cheii, precizia ceasului etc. a unui simbol hardware).
Dispozitivele cu parolă unică au următoarele dezavantaje potențiale:
· Există o cheltuială unică pentru un token hardware (în funcție de volumul de achiziție,
vă puteți aștepta să plătiți 10 USD-100 USD fiecare), și există posibilitatea de a fi necesar
înlocuiți un jeton pierdut sau rupt sau bateria unui jeton (unele unități au un
baterie neînlocuabilă, făcându-le de unică folosință după câțiva ani);
· Configurarea inițială este ceva mai dificilă decât în cazul altor autentificări
metode, iar utilizatorii care nu sunt familiarizați cu dispozitivele vor trebui instruiți cu privire la acestea
utilizare;
· Deși sunt de obicei destul de mici (de exemplu, 5 cm x 2 cm x 1 cm) și pot fi atașate la
un breloc sau șnur, sau păstrat într-un portofel, utilizatorii pot tresări când trebuie să poarte un jeton
în jur cu ei;
· Utilizatorii pot uita să aibă jetonul la ei sau pot pierde jetonul;
· Un dispozitiv mobil (cu un client software) este probabil o țintă probabilă pentru furt, mai mult
deci decât un token hardware (de aici și importanța suplimentară a unui PIN pentru acest dispozitiv);
· Spre deosebire de un token hardware în care cheia este arsă într-o formă inaccesibilă, inviolabilă
memorie, cheia configurată într-un client software poate fi citită de acesta
proprietar, făcând posibilă partajarea contului;
· Introducerea unei valori de 40 de caractere sau mai mare pe un dispozitiv mobil poate fi frustrantă
și predispus la erori;
· Odată ce un dispozitiv TOTP generează o parolă, o nouă parolă nu poate fi generată până la
următoarea fereastră de timp, care solicită utilizatorului să aștepte 30 (sau eventual 60) secunde (de exemplu,
dacă se comite o eroare de intrare);
· Unele dispozitive sunt greu de citit în condiții de lumină scăzută; utilizatorii prezbiopi și cei
cu vedere afectată poate avea dificultăți în citirea afișajului.
Conturi
Conturile administrate de dacstoken sunt complet separate de conturile folosite de
local_passwd_authenticate[21] sau oricare altul DACS modul de autentificare.
Conturile pentru dispozitivele HOTP și TOTP pot fi fie combinate, fie păstrate separate. Dacă virtualul
tipul de element filestore auth_hotp_token este definit, este folosit doar pentru conturile asociate
cu jetoane HOTP. În mod similar, dacă elementul de stocare de fișiere virtuale, tipul auth_totp_token este
definit, este utilizat numai pentru conturile asociate cu jetoane TOTP. Dacă oricare dintre tipurile de articol este
nedefinit, conturile sunt accesate prin DACS-urile depozit de fișiere virtual folosind tipul de element
auth_token. Se presupune că permisiunile pentru fișiere din bazele de date de cont sunt astfel încât toate
accesul este limitat la administrator și local_token_authenticate.
Dacă conturile pentru cele două tipuri de dispozitive sunt combinate, deoarece fiecare nume de utilizator pentru un
metoda de autentificare trebuie să fie unică, dacă o persoană are ambele tipuri de jeton, trebuie să fie
să fie atribuite nume de utilizator diferite. Deci, de exemplu, dacă Auggie are un jeton HOTP și unul
Token TOTP, primul ar putea corespunde numelui de utilizator auggie-hotp, iar cel din urmă cu
auggie-totp; formularul de conectare ar putea include o intrare în modul dispozitiv care ar permite Auggie
pentru a tasta pur și simplu „auggie” în câmpul nume de utilizator și JavaScript pentru a adăuga automat
sufix adecvat pe baza modului dispozitiv selectat. Un dezavantaj evident al acestui lucru
configurația este că rezultă două diferite DACS identități pentru același individ;
acest lucru ar trebui să fie amintit dacă o regulă de control al accesului ar trebui să-l identifice pe Auggie
explicit. Dacă ambele jetoane ar trebui să se mapeze la același DACS identitate, clauza Auth ar putea
eliminați sufixul după autentificarea cu succes, dar administratorul ar face-o atunci
trebuie să aveți grijă de cazul a două Auggie diferite, fiecare folosind un tip de dispozitiv diferit.
Configurarea ambelor tipuri de elemente auth_hotp_token și auth_totp_token (sau doar unul dintre ele
și auth_token) păstrează conturile separate și permite utilizarea aceluiași nume de utilizator pentru
ambele tipuri de dispozitive. Prin urmare, Auggie ar putea avea o înregistrare de cont cu aceeași
nume de utilizator pentru ambele tipuri de dispozitive. Această abordare necesită specificarea modului dispozitivului
când se solicită o operațiune astfel încât să poată fi utilizat tipul corect de articol; aceasta înseamnă că
utilizatorii trebuie să știe ce tip de dispozitiv folosesc (poate prin aplicarea unei etichete).
Consultați detaliile importante referitoare la DACS identități[22].
-vfs este utilizat pentru a configura sau reconfigura tipul de element auth_token.
Numai cheile care îndeplinesc cerințele privind lungimea minimă a cheii (16 octeți) pot fi stocați cu
informații despre cont (de exemplu, cu -a stabilit or -import). În alte contexte, cerința este
neexecutat.
Cheia secretă este criptată de dacstoken când este scris în fișierul de cont. The
tipul de element de depozit de fișiere virtuale auth_token_keys identifică cheile de criptare pentru dacstoken
a folosi; cel - chei și -outkeys steagurile specifică alternative (vezi dacskey(1)[23]). Dacă
cheile de criptare sunt pierdute, cheile secrete sunt practic irecuperabile.
Important
Dacă un atacator descoperă o cheie secretă, generând parole utilizabile fără a deține
jetonul nu va fi dificil. Pentru cel puțin unele jetoane hardware, cheia este arsă
în dispozitiv și nu poate fi schimbat; în acest caz, dacă cheia este scursă dispozitivul
ar trebui distrus. Dacă se pierde un token, contul corespunzător ar trebui să fie dezactivat.
În cazul în care un atacator găsește un jeton pierdut sau descoperă o cheie secretă, având o puternică
PIN-ul asociat contului va îngreuna obținerea atacatorului
acces.
Important
· Această metodă de autentificare a fost testată împotriva următoarelor produse OTP:
· Authenex O cheie 3600[24] Jeton hardware cu parolă unică (HOTP);
· Feitian Tehnologii[25] Hardware cu parolă unică OTP C100 și OTP C200
jetoane, furnizate de HyperSecu Informații sisteme[26]; și
· JURĂMÂNT Simbol[27] aplicație software de Archie Cobbs, care implementează ambele
HOTP și TOTP pe iPod Atingere, iPhone și iPad[28].
· Tehnologii Feitian iJURAMENT Lite[29] Aplicație software HOTP pentru iPod
Atingeți, iPhone și iPad.
Alți producători interesați să aibă produsele lor susținute de DACS sunt
bine ați venit să contactați Dss.
· Fotografie[30]: Feitian OTP C200, iPod Touch cu aplicația OATH Token, Authenex A-Key
3600 (în sensul acelor de ceasornic din stânga sus)
· Deși această implementare ar trebui să funcționeze numai cu produse similare, conforme
aceste produse sunt susținute oficial de DACS.
· Jetoanele hardware pot fi achiziționate direct de la vânzători.
· Orice problemă cu utilizarea token-urilor pentru autentificare DACS nu sunt
responsabilitatea vânzătorului de simboluri.
Importarea și Exportarea OTP Conturi
Descrierile conturilor și jetoanele acestora pot fi încărcate sau aruncate (consultați documentul -import
și -export steaguri). Acest lucru simplifică furnizarea în bloc, backupul și portabilitatea. The
informațiile despre cont sunt scrise într-un format XML simplu, specific aplicației (aproape).
Formatul înțeles de dacstoken constă dintr-un element rădăcină ("otp_tokens"), urmat de
zero sau mai multe elemente „otp_token”, câte unul pe linie, fiecare cu obligatoriu și opțional
atribute (descrise mai jos). Declarația XML trebuie omisă. Spații albe de frunte și
liniile goale sunt ignorate, la fel ca și comentariile XML cu o singură linie. În plus, linii care au un „#”
deoarece primul caracter care nu este alb sunt ignorate. Atribute opționale care nu sunt
prezente li se atribuie valori implicite. Algoritmul implicit de digest este SHA1. Atribut scurt
numele sunt folosite pentru a economisi spațiu. Atribute nerecunoscute și atribute irelevante pentru
modul dispozitiv, sunt ignorate. Caractere simple sau duble (sau ambele) în atributul XML
valorile trebuie înlocuite cu referința corespunzătoare a entității ("'" și """,
respectiv), la fel ca și caracterele „<” (mai puțin decât) și „&” (ampersand). Un „>” (mai mare
decât) caracterul poate fi înlocuit opțional cu o secvență „>”, dar nicio altă entitate
referințele sunt recunoscute.
Atributele recunoscute sunt:
· b:
de bază
-- radix pentru valoarea OTP
[Opțional:
10 (Mod implicit),
16, Sau 32]
· c:
contracara
-- valoarea contorului curent pentru HOTP, în hex dacă este precedată
prin „0x” (sau „0X”), zecimal în caz contrar
[Opțional:
implicit este 0]
· d:
OTP dispozitiv mod
-- „c” (pentru HOTP)
sau „t” (pentru TOTP)
[Necesar]
· dn:
digest-name
-- unul dintre algoritmii Secure Hash
[Opțional:
SHA1 (implicit),
SHA224, SHA256,
SHA384, SHA512]
· dr:
ceas-derivare
-- reglarea ceasului, în secunde, pentru TOTP
[Opțional]
· ek:
cheie criptată
-- cheie secretă criptată, codificată în bază 64
[Necesar:
Numai înregistrările contului OTP]
· ro:
starea-activată
-- 1 pentru activat,
0 pentru handicapati
[Necesar]
· k:
cheie text simplu
-- cheie secretă necriptată
[Necesar]
· lu:
Ultima actualizare
-- Ora Unix a ultimei actualizări de înregistrare
[Opțional: implicit este ora curentă]
· nd:
ncifre
-- numărul de cifre pentru valoarea OTP
[Opțional:
implicit este 6 pentru HOTP,
8 pentru TOTP]
· p:
text simplu-PIN
-- valoarea PIN text simplu pentru cont
[Necesar:
cu excepția cazului în care ph este prezent,
numai pentru import]
· ph:
PIN hashed
-- valoarea PIN hashing pentru cont
[Opțional:
generat de dacstoken
numai pentru export și fișiere de cont OTP]
· s:
număr de serie
-- șir de identificare unic pentru dispozitiv
[Necesar]
· ts:
pas de timp
-- valoarea pasului de timp, în secunde, pentru TOTP
[Opțional:
implicit este 30]
· tu:
nume de utilizator
-- un valid DACS nume de utilizator asociat acestui cont
[Necesar]
Următorul exemplu descrie două conturi care ar putea fi create folosind -import steag:
Securitate
Deoarece înregistrările importate includ cheile secrete necriptate pentru dispozitivele OTP,
fișierul exportat trebuie păstrat criptat (de exemplu, folosind OpenSSL) sau cel puțin au
permisiunile corespunzătoare pentru fișiere.
notițe
Se dezvoltă un format standard pentru furnizarea dispozitivelor OTP. Acest format poate fi
înțeles printr-o versiune viitoare a dacstoken, sau poate fi scris un utilitar de conversie.
Formatul standard este probabil să fie considerabil mai complex decât formatul DACS format.
OPŢIUNI
Pe lângă standard dacsoptions[1], o listă lungă de steaguri de linie de comandă sunt
recunoscut. Când un nume de utilizator este dat, valorile implicite asociate contului respectiv sunt
utilizate, în caz contrar sunt utilizate valorile implicite recomandate sau specifice implementării. Acestea sunt implicite
valorile pot fi de obicei suprascrise pe linia de comandă. Unele steaguri sunt permise numai cu a
anumit mod de simbol (de exemplu, -tejghea, -totp-show) și aspectul lor implică acel mod,
realizând -modul steag inutil; alte steaguri sunt independente de mod (de exemplu, -șterge,
-permite). Este o eroare să utilizați o combinație de steag incompatibilă reciproc. Steaguri care sunt
fără sens cu operațiunea selectată sunt ignorate, deși implică totuși un mod.
Valorile hexazecimale nu fac distincție între majuscule și minuscule. Dacă este necesară o valoare de contor, dar nespecificată
(de exemplu, la crearea unui cont), este utilizată o valoare inițială a contorului de zero.
op-spec specifică operația de efectuat, împreună cu zero sau mai multe schimbare
steaguri. Dacă op-spec lipsește, the -listă se efectueaza operatia. Un op-spec este unul din
Următor:
-auth otp-valoare
Acest steag este ca -valida[31], cu excepția:
· A nume de utilizator este necesar, din care se obțin toți parametrii (cum ar fi cheia);
· dacă contul are un PIN, acesta trebuie furnizat;
· dacă contul este pentru un token HOTP, contorul va fi actualizat dacă este autentificat
este de succes.
O stare de ieșire de zero indică o autentificare reușită, în timp ce orice altă valoare
înseamnă că autentificarea a eșuat.
-convertit nume de fișier
Încărcați un fișier de cont cu simbol în format mai vechi (înainte de lansarea 1.4.25). nume de fișier ("-"
înseamnă să citiți din stdin), convertiți-l în formatul mai nou și scrieți-l în stdout (ca
by -export). Acest semnalizare este depreciat și această capacitate va fi eliminată în viitor
lansarea DACS.
-crea
Creează un cont pentru nume de utilizator, care nu trebuie să existe deja. În alte privințe, ea
funcționează ca. -a stabilit[32]. La crearea unui cont nou, -serial este obligatoriu și -cheie is
subînțeles. Daca nu -permite steag este furnizat la crearea unui cont, -dezactivare este implicit.
Daca nu -tejghea este furnizat flag, este folosită valoarea implicită de zero. Dacă unul dintre steagurile PIN este
prezent, PIN-ul dat va fi atribuit contului, în caz contrar, contul nu
au un PIN (sau PIN-ul existent nu va fi schimbat).
-actual
Afișați factorul de mișcare curent (adică, valoarea contorului pentru HOTP sau intervalul
valoare pentru TOTP) și OTP așteptat pentru nume de utilizator. Pentru HOTP, contorul este avansat. Toate
parametrii sunt preluați din cont.
-șterge
Ștergeți contul pentru nume de utilizator. Cheia secretă a dispozitivului și altele operaționale
parametrii se vor pierde.
-delpin
Ștergeți PIN-ul, dacă este prezent, pe contul pentru nume de utilizator, lăsând contul fără a
PIN-ul.
-export
Scrieți informații despre toate conturile sau doar despre un cont dacă nume de utilizator este dat, la
stdout. Dacă este selectat un mod, totuși, vor fi doar conturile care au acel mod
scris. Aceste informații pot fi reîncărcate folosind -import or -import-inlocuire. Ieșirea
ar trebui să fie stocat într-o formă criptată, sau cel puțin să aibă permisiunile de fișier
setati corespunzator. De exemplu:
% dacstoken -uj EXEMPLU -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Mai târziu, ați putea face ceva de genul:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj EXEMPLU -import -
-h
-Ajutor
Afișați un mesaj de ajutor și ieșiți.
-hotp-show o
Afişa o parole HOTP consecutive de la o valoare și o cheie de contor date. The
-tejghea flag poate fi folosit pentru a specifica o valoare inițială a contorului. Cheia poate fi
specificat folosind -cheie, -fișier-cheie, Sau -cheie-prompt. În cazul în care un nume de utilizator este prevăzut, cel
valoarea inițială a contorului și cheia sunt obținute din contul HOTP al utilizatorului, cu excepția cazului în care oricare dintre ele
valoarea este suprascrisă pe linia de comandă; valoarea contorului stocată a contului nu este
modificat. Acest lucru este destinat în principal pentru scopuri de depanare.
-import nume de fișier
-import-inlocuire nume de fișier
Încărcați informații despre cont și simboluri de la nume de fișier; dacă nume de fișier este „-”, este citit stdin.
Dacă este selectat un mod, vor fi citite numai conturile care au acel mod. Cu -import este
o eroare dacă un cont importat există deja și procesarea se oprește; -import-inlocuire
va înlocui un cont existent cu date importate.
-l
-listă
-lung
If nume de utilizator este furnizat, afișați informații despre contul corespunzător; dacă
-serial este dat flag, afișați informații despre contul cu seria specificată
număr; altfel enumerați toate conturile. Dacă -modul steag este dat în oricare dintre aceste cazuri,
cu toate acestea, enumerați numai acele conturi care au modul de operare specificat. Dacă aceasta
steagul se repetă, sau cu -lung steag, sunt afișate mai multe detalii: tipul dispozitivului,
starea contului, numărul de serie al dispozitivului, valoarea contorului (pentru HOTP), valoarea variației ceasului (pentru
TOTP), indiferent dacă contul are sau nu un PIN (indicat prin simbolul „+” sau „-”) și
ora și data ultimei modificări a contului.
-redenumiți nume de utilizator nou
Redenumiți contul existent pentru nume de utilizator pentru a fi nume de utilizator nouși modificați noul
cont folosind argumente din linia de comandă (ca și cu -a stabilit[32]). Pentru că acest lucru necesită doi pași
care nu se fac atomic, dacă apare o eroare este posibil ca noul cont să o facă
să fie creat și vechiul cont să mai existe.
-a stabilit
-a stabilit flag este folosit pentru a modifica contul existent pentru nume de utilizator bazat pe una sau mai multe
argumente modificatoare (-baza, -tejghea, -cifre, -dezactivare or -permite, -cheie (Sau -fișier-cheie
or -cheie-prompt), -Pini (Sau -file-pin or -pin-prompt), sau -serial). Modul poate fi, de asemenea
modificat prin precizare -modul, dar parametri specifici modului asociați contului
va fi pierdut (de exemplu, valoarea curentă a contorului va fi ștearsă dacă un cont HOTP este
schimbat într-un cont TOTP) și parametri generali (cum ar fi numărul de serie) vor fi
păstrat dacă nu este suprascris pe linia de comandă.
-sincronizare lista de parole
În modul HOTP, acesta încearcă să sincronizeze serverul cu simbolul pentru nume de utilizator.
lista de parole este o listă separată prin virgulă de trei parole succesive produse de
simbolul utilizatorului (această funcție de „sincronizare automată” este disponibilă și prin
local_token_authenticate[3]). Secvența dată trebuie să se potrivească cu secvența calculată
exact, având în vedere parametrii operaționali în vigoare; de exemplu, zerourile de început sunt
semnificativ, la fel ca și radixul de afișare și numărul de cifre OTP în vigoare. Dacă
sincronizarea are succes, utilizatorul ar trebui să se poată autentifica folosind următorul
parola produsă de dispozitiv. Un algoritm de căutare exhaustiv folosind creșterea
se utilizează valori de contor, cu o limită de timp de compilare a numărului maxim de
calcule. Căutarea începe la valoarea contorului stocată în prezent pe server, cu excepția cazului în care
unul este furnizat folosind -tejghea. Dacă nu reușește, această operațiune ar putea dura mult timp
înainte de a se termina; utilizatorul trebuie să contacteze un administrator pentru asistență.
În modul TOTP, încercați să determinați cât de strâns sincronizat este ceasul sistemului
ceasul jetonului și afișați rezultatul. Aceste informații pot fi folosite pentru a actualiza
înregistrarea simbolului utilizatorului pentru a compensa ceasurile sincronizate prost sau pentru a ajusta
parametrii de validare. Cheia jetonului și numele algoritmului de digest sunt
obținut pentru înregistrarea jetonului aparținând nume de utilizator, dacă este dat; altfel cheia
este solicitat și algoritmul de digest de utilizat este fie obținut din comandă
linie sau implicit. Doar prima parolă în lista de parole este folosit.
-totp-timestep, -cifre, și -totp-base opțiunile sunt eficiente în timpul acestei operațiuni.
-Test
Efectuați câteva autotestări, apoi ieșiți. O stare de ieșire diferită de zero înseamnă că a apărut o eroare.
-totp-show o
Afișează o secvență de parole TOTP folosind parametrii în vigoare:
dimensiunea intervalului (-totp-timestep), numărul de cifre (-cifre), și baza (-baza).
parametrii stocați ai contului nu sunt modificați. Acest lucru este destinat în principal pentru depanare
scopuri.
În cazul în care o nume de utilizator este furnizat (trebuie să fie asociat cu un dispozitiv TOTP), cheia și
alți parametri stocați din cont sunt utilizați dacă nu sunt suprascriși de linia de comandă
steaguri. Secvența parolelor pentru o intervale înainte și după ora curentă,
împreună cu parola pentru ora curentă sunt tipărite.
Daca nu nume de utilizator este dat, programul solicită cheia (care este ecou) și folosește
steaguri de linie de comandă sau valori implicite pentru parametri. Apoi emite parola TOTP
pentru ora curentă de fiecare dată când este apăsat Return/Enter. Tastarea EOF cauzează imediat
reziliere.
-valida otp-valoare
If otp-valoare este următoarea parolă unică așteptată, returnează o stare de ieșire de zero la
indică succesul; orice altă valoare indică eșec. Dacă nume de utilizator este dat, parametri
pentru validare, inclusiv cheia, sunt obținute din acel cont, cu excepția cazului în care sunt suprascrise
linia de comandă. Starea serverului nu este schimbată; de exemplu, un contor HOTP nu este
avansat. Daca nu nume de utilizator este dat, cel -modul trebuie folosit flag și parametrii
necesar pentru acel mod trebuie să fie furnizat, inclusiv o cheie. Pentru modul HOTP, o valoare de contor
trebuie furnizate. Pentru modul TOTP, parametrii liniei de comandă sunt eficienți în acest timp
validare. dacstoken va testa dacă otp-valoare validează în raport cu parametrii din
efect.
Următoarele schimbare steaguri se înțeleg:
-toate
cu -a stabilit si nu nume de utilizator, aplicați modificările la toate conturi. Acest lucru poate fi folosit pentru
activați sau dezactivați toate conturile, de exemplu. The - chei și -outkeys steagurile sunt
onorat. Dacă apare o eroare, procesarea se oprește imediat, caz în care doar unele
este posibil ca conturile să fi fost modificate.
-baza o
Utilizare o ca bază (radix) la afișarea unui OTP. Valoarea a o este limitat la
10 (implicit), 16, Sau 32.
-tejghea o
Aceasta este valoarea contorului HOTP de 8 octeți de setat, exprimată ca valoare hexadecimală dacă este precedată de
prin „0x” (sau „0X”), zecimal în caz contrar. Zerourile inițiale pot fi eliminate. Aceasta implică HOTP
modul. Pentru dispozitivele cu simboluri, nu ar trebui să fie posibilă resetarea unui contor (contor modul
overflow), deoarece asta va duce la repetarea secvenței parolei, presupunând
că cheia nu este schimbată; Este posibil ca implementările software să nu aibă această restricție,
totuși, atenție la implicațiile de securitate.
-cifre o
Utilizare o cifre la afișarea unui OTP. Valoarea a o este limitat la 6, 7, 8 (
implicit), sau 9 cu baza 10. Este restrâns la 6 cu baza 32 si este ignorat cu
de bază 16 (ieșire hexagonală).
-dezactivare
Dezactivează contul pentru nume de utilizator. local_token_authenticate modul, și -auth și
-valida steaguri, nu va permite utilizatorului să se autentifice până când contul nu a fost
activat, deși alte operațiuni pot fi efectuate în continuare pe cont. Dacă -permite
este utilizat ulterior, contul va deveni utilizabil pentru autentificare și este
restabilit la starea în care era dezactivat. Nu este o eroare să dezactivați un
cont deja dezactivat.
-permite
Activați contul pentru nume de utilizator. local_token_authenticate modulul va permite
utilizator pentru a se autentifica. Activarea unui cont deja activat nu este o eroare.
-fereastră hotp o
Dacă parola HOTP așteptată nu se potrivește cu parola dată, încercați să o potriviți cu
o parole după parola așteptată în secvență. O valoare zero pentru o
dezactivează această căutare.
- chei categorie de obiect
Pentru decriptarea cheilor secrete, utilizați magazinul identificat de categorie de obiect, probabil
configurat în dacs.conf.
-cheie keyval
Utilizare keyval ca cheie secretă, exprimată ca șir de cifre hexadecimale.
Securitate
Furnizarea unei chei pe linia de comandă nu este sigură, deoarece poate fi vizibilă pentru
alte procese.
-fișier-cheie nume de fișier
Citiți cheia secretă, exprimată ca șir de cifre hexadecimale, de la nume de fișier. Dacă nume de fișier is
„-”, cheia este citită din stdin.
-cheie-prompt
Solicitați cheia secretă, exprimată ca șir de cifre hexadecimale. Intrarea nu are ecou.
-modul modul otp
Acesta specifică (fără diferențiere între majuscule și minuscule) tipul de simbol (modul dispozitivului OTP) pentru utilizare
cu -a stabilit, -crea, și operațiuni de validare și sincronizare. The modul otp poate fi
fie counter sau hotp pentru modul contor, fie time sau top pentru modul bazat pe timp. Acest
flag este necesar la crearea unui cont nou.
-outkeys categorie de obiect
Pentru criptarea cheilor secrete, utilizați magazinul identificat de categorie de obiect, probabil definit
în dacs.conf.
-Pini pinval
Utilizare pinval ca PIN secret pentru cont.
Securitate
Furnizarea unui PIN pe linia de comandă nu este sigură, deoarece poate fi vizibilă pentru
alte procese.
-pin-constrângeri str
În loc de a folosi PASSWORD_CONSTRAINTS[14], folosiți str (avand aceeasi sintaxa si
semantică) pentru a descrie cerințele pentru un PIN.
notițe
Cerințele pentru un PIN se aplică codurilor PIN obținute printr-un semnalizator de linie de comandă și acestora
obţinut prin import (folosind atributul „p”). Cerințele nu sunt
„retroactiv”, totuși, deci modificarea cerințelor nu afectează codurile PIN ale
conturi existente sau conturi de import care au fost exportate anterior (având un
atributul „ph”).
-file-pin nume de fișier
Citiți codul PIN secret de la nume de fișier. Dacă nume de fișier este „-”, PIN-ul este citit din stdin.
-pin-prompt
Solicitați codul PIN secret. Intrarea nu are ecou.
-rnd
Rezervat pentru utilizare viitoare.
-samanta str
Rezervat pentru utilizare viitoare.
-serial str
Numărul de serie, str, este un identificator (pretins) unic atribuit jetonului.
Această opțiune este utilizată cu -a stabilit, -crea, și -listă steaguri. Un număr de serie
identifică un anumit dispozitiv OTP și nu trebuie ținut secret. Proprietatea unicității
este aplicat într-o unitate de depozitare de tip articol; adică numerele de serie ale tuturor HOTP
dispozitivele trebuie să fie unice, numerele de serie ale tuturor dispozitivelor TOTP trebuie să fie unice și dacă
conturile pentru cele două tipuri de dispozitive sunt combinate, toate numerele de serie ale dispozitivului trebuie să fie
unic. Orice șir imprimabil este acceptat. Dacă un client software generează
parolele, puteți utiliza numărul de serie al dispozitivului sau puteți alege orice descriptiv adecvat
șir care nu este deja atribuit unui dispozitiv.
notițe
O jurisdicție care permite (sau poate permite în cele din urmă) atât token-uri hardware, cât și
aplicațiile client care generează software ar trebui să ia în considerare adoptarea unui sistem oficial
schema de denumire pentru jetoanele sale. De exemplu, administratorul ar putea adăuga „-hw” la
numărul de serie al vânzătorului pentru a forma dacstoken număr de serie. Pentru software
jetoane, administratorul poate crea un dacstoken numărul de serie prin anexare
„-sw” la numărul de serie al furnizorului pentru dispozitiv.
-totp-delta o
Reglați timpul de bază cu o intervale (fiecare din dimensiunea pasului numărul de secunde) când
calculând un TOTP. The o poate fi negativ, zero sau pozitiv. Acesta este folosit pentru a corecta
pentru ceasuri sincronizate necorespunzător.
-totp-drift nwindows
Pentru TOTP, utilizați o dimensiune de fereastră de nwindows (din punct de vedere al mărimii intervalului) pentru
validare. Dacă nwindows is 0, valoarea TOTP calculată trebuie să se potrivească cu cea dată
exact. Dacă nwindows is 1, De exemplu, dacstoken va încerca să se potrivească cu TOTP-ul dat
valoare în intervalul anterior, curent și următor. Acest lucru permite ceasurilor în
sistemul rulează dacstoken (Sau local_token_authenticate) și dispozitiv producator de jetoane la
să fie mai puțin bine sincronizate.
Securitate
Deși compensează ceasurile slab sincronizate, crescând valoarea lui
nwindows slăbește sistemul prin extinderea duratei de viață a unei parole unice.
-totp-hash ALG
Utilizare ALG ca algoritm de digest cu TOTP. Valoarea a ALG este limitat la (caz
insensibil) SHA1 (implicit), SHA256 sau SHA512.
-totp-timestep secunde
Utilizare secunde ca dimensiune a intervalului atunci când se calculează un TOTP. Trebuie să fie mai mare decât zero. The
implicit este 30 secunde.
Securitate
Deși compensează ceasurile slab sincronizate, crescând valoarea lui
secunde slăbește sistemul prin extinderea duratei de viață a unei parole unice.
-vfs vfs_uri
Utilizare vfs_uri pentru a trece peste VFS[33] directiva de configurare în vigoare. Acesta poate fi
folosit pentru a configura sau reconfigura auth_token, auth_hotp_token sau auth_totp_token pentru
specificați metoda de stocare pentru conturile asupra cărora se acționează.
În afară de mesajele de eroare, care sunt tipărite la eroarea standard, toată ieșirea se duce la
ieșire standard.
De obicei, a dacsoption va fi specificat pentru a selecta jurisdicția în numele căreia
conturile sunt gestionate.
EXEMPLE
Aceste exemple presupun că numele jurisdicției de utilizat este EXAMPLE și federația sa
domeniul este example.com.
Pentru a utiliza această metodă de autentificare, a DACS administratorul poate efectua următorii pași
pentru fiecare dispozitiv OTP alocat unui utilizator:
1. Obțineți un token acceptat, examinați modul în care este utilizat pentru autentificare și selectați valori
pentru diferiții parametri. Obțineți cheia secretă pentru dispozitiv de la furnizor; pentru
un dispozitiv programabil, selectați o cheie aleatorie adecvată și programați-o în dispozitiv.
Valorile curente ale contorului pot fi, de asemenea, obținute de la furnizor, deși este
probabil să fie inițializat la zero; pentru un dispozitiv programabil, setați valoarea contorului la
zero. Decideți dacă va fi necesar un PIN (vezi TOKEN_REQUIRES_PIN[9]). Dacă un software
clientul este utilizat, instalați software-ul pe dispozitivul utilizatorului (sau solicitați utilizatorului să facă
deci), și configurați software-ul.
2. Decideți unde vor fi stocate informațiile contului și, dacă este necesar, adăugați o informație adecvată
VFS[33] directivă către dacs.conf. Valoarea implicită (găsită în site.conf) menține contul
informații într-un fișier numit auth_tokens în cadrul confidențial implicit al fiecărei jurisdicții
zonă:
VFS „[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. Generați chei pentru a cripta informațiile contului (vezi indicativele și secret chei[34]) și
decide unde vor fi depozitate; de exemplu (ID-ul dvs. de utilizator, ID-ul grupului, calea,
numele jurisdicției și domeniul federației pot varia):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXEMPLU -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Dacă este necesar, adăugați un adecvat VFS[33] directivă către dacs.conf; implicit, care este
folosit mai sus, păstrează informațiile contului într-un fișier numit auth_token_keys în interior
zona privată implicită a fiecărei jurisdicții:
VFS „[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. Dacă aveți nevoie de utilizatori să se conecteze dacs_authenticate(8)[2], trebuie să configurați a
clauză Auth adecvată în dacs.conf, de exemplu:
URL „token”
STIL „trece”
CONTROL „suficient”
5. Există mai multe moduri prin care un administrator poate proceda, în funcție de cât de mult
efortul poate fi depus de utilizatori (de exemplu, dacă pot fi de încredere, tehnica lor
capacitatea), câți utilizatori sunt (câțiva sau mii) și nivelul de securitate
necesar.
1. pregătiți un fișier care conține un XML record[35] pentru fiecare cont de creat; dacă
Trebuie folosite PIN-uri, atribuiți un PIN aleatoriu fiecărui cont;
2. utilizați -import[36] flag pentru a crea conturile;
3. dați utilizatorului dispozitivul cu simbol, numele de utilizator și (dacă este necesar) PIN-ul inițial
(poate verificând identitatea), oferind orice demonstrație necesară și
instrucțiuni;
4. cereți utilizatorului să seteze sau să resetați codul PIN pentru cont și să cereți utilizatorului să se conecteze
folosind simbolul pentru a confirma funcționarea corectă.
Pentru a crea un cont dezactivat pentru utilizatorul bobo pentru un dispozitiv HOTP:
% dacstoken -uj EXEMPLU -mod hotp -serial 37000752 -key-file bobo.key -create bobo
Cheia secretă pentru cont (care nu trebuie să existe deja) este citită din fișier
bobo.key. Conturile noi sunt dezactivate implicit; utilizare -permite pentru a crea un cont activat.
Odată ce un cont a fost creat, acesta poate fi sincronizat cu simbolul. Pentru a sincroniza
jetonul HOTP pentru utilizatorul bobo:
% dacstoken -uj EXEMPLU -sync 433268,894121,615120 bobo
În acest exemplu, tokenul specific a produs cele trei parole consecutive 433268,
894121 și 615120. Rețineți că șirul secvenței de parole care urmează -sincronizare steag este
un singur argument care nu poate avea spații încorporate. Dacă cheia pentru acest jeton este
19c0a3519a89b4a8034c5b9306db, următoarea parolă generată de acest token ar trebui să fie 544323
(cu valoarea contorului 13). Acest lucru poate fi verificat folosind -hotp-show:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Pentru a activa contul pentru utilizatorul bobo:
% dacstoken -uj EXEMPLU -enable -set bobo
Pentru a seta codul PIN și a activa contul pentru utilizatorul bobo:
% dacstoken -uj EXEMPLU -enable -pin "CzAy" -set bobo
Pentru a enumera toate conturile în detaliu:
% dacstoken -uj EXEMPLU -lung
-listă flag este redundant deoarece este operația implicită. The -modul, -tejghea, Etc
modificatorii nu au niciun efect la listare.
Pentru a lista numai contul pentru bobo:
% dacstoken -uj EXEMPLU -list bobo
Starea de ieșire va fi diferită de zero dacă acest utilizator nu are un cont.
Pentru a afișa contul pentru dispozitivul cu numărul de serie 37000752:
% dacstoken -uj EXEMPLU -serial 37000752
Numărul de serie, care ar trebui să identifice unic un jeton, este adesea imprimat pe jeton
sau poate fi afișat prin simbol.
Pentru a seta valoarea contorului pentru contul existent al bobo:
% dacstoken -uj EXEMPLU -contor 9 -set bobo
Această operațiune poate fi folosită pentru testare sau cu un token software. The -sincronizare operațiunea este
mai potrivit pentru un token hardware.
Pentru a schimba PIN-ul pentru numele de utilizator bobo:
% dacstoken -uj EXEMPLU -pin-prompt -set bobo
Programul va solicita noul PIN.
Pentru a utiliza un fișier de cont alternativ, /secure/auth_tokens:
% dacstoken -uj EXEMPLU -vfs „dacs-kwv-fs:/secure/auth_tokens” -list
Pentru a utiliza chei noi (făcând aceleași ipoteze ca mai devreme), adăugați o directivă VFS adecvată la
dacs.conf; implicit definește tipul de element auth_token_keys_prev după cum urmează:
VFS „[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXEMPLU -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXEMPLU -inkeys auth_token_keys.prev -set
DIAGNOSTIC
Programul iese din 0 sau 1 dacă a apărut o eroare.
Utilizați dacstoken online folosind serviciile onworks.net
