Это команда dacsauth, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
dacsauth - проверка аутентификации
СИНТАКСИС
даксаут [-m спецификация модуля авторизации] [...] [-r роли-модуль-спецификация] [...] [-DДирективы=ценностное ]
[-на]
[-fj фамилия] [-фн Fedname] [-h | -Помощь] [-Я бы] [-ll log_level]
[-p password]
[-ПФ файл] [-незамедлительный] [-q] [{-u | -user} username] [-v]
dacsauth-модули
ОПИСАНИЕ
Эта программа является частью DACS на.
Ассоциация даксаут утилита проверяет, удовлетворяет ли данный аутентификационный материал аутентификации
требований и указывает результат через статус выхода процесса. Это похоже на
dacs_authenticate(8)[1] и Dacscred(1)[2].
даксаут предоставляет сценариям и другим программам возможность использовать DACS идентификация
инфраструктура. Они могут использовать успешную аутентификацию как грубую форму
авторизация; только пользователю, который предоставляет правильный пароль, может быть разрешено запускать
программа, например. Или они могут вернуть какие-то учетные данные после успешного
аутентификация или, возможно, использовать dacs_auth_agent(8)[3] вернуться DACS полномочия.
даксаут также может использоваться для получения информации о ролях, связанных с данным пользователем.
даксаут не читает ни DACS файлы конфигурации. Все необходимое для проведения теста
должен быть указан в качестве аргумента.
Функции
If даксаут использует встроенный модуль для аутентификации или поиска ролей, нет
сервер компонент is обязательный. Это означает, что вы можете использовать даксаут без необходимости
получить доступ или даже настроить веб-сервер, включая Apache.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
Распознаются следующие флаги командной строки. Хотя бы один -m флаг (выполнять
проверка подлинности) или хотя бы один -r должен быть указан флаг (для формирования роли
строку дескриптора для удостоверения и распечатайте ее на стандартный вывод). Комбинация обоих флагов
разрешено, и в этом случае строка дескриптора роли выводится, только если проверка аутентификации
успешный.
-DДирективы=ценностное
Это эквивалентно установке Директивы, генерал DACS директива конфигурации, чтобы
ценностное . Посмотреть dacs.conf(5)[4].
-на
Следующая строка, предоставленная -p, -ПФили -незамедлительный flag будет значением
ВСПОМОГАТЕЛЬНЫЙ аргумент аутентификации. Это обеспечивает безопасный способ передачи конфиденциальных
вспомогательная информация, например PIN-код для программы. Флаг для получения пароля,
если есть, должен предшествовать этому флагу в командной строке.
-fj фамилия
Используйте фамилия, который должен быть синтаксически корректным в качестве названия юрисдикции. Если необходимо
но не указано, будет использоваться значение, полученное из доменного имени хоста.
-фн Fedname
Используйте Fedname, который должен быть синтаксически допустимым как имя федерации. Если необходимо
но не указано, будет использоваться значение, полученное из доменного имени хоста.
-h
-Помощь
Отобразите справочное сообщение и выйдите.
-Я бы
В случае успеха распечатайте аутентифицированный DACS идентичность стандартному выводу.
-ll log_level
Установите уровень вывода отладки на log_level (См. ЦАП(1)[5]). Уровень по умолчанию
предупреждать.
-m спецификация модуля авторизации
Каждый требуемый тип проверки аутентификации описывается спецификация модуля авторизации
что сразу следует за -m флаг. Каждый спецификация модуля авторизации по сути
альтернативное представление Auth пункт[6] и его директивы, которые используются
dacs_authenticate(8)[1]. Так же, как порядок, в котором предложения Auth появляются в DACS
файл конфигурации, порядок, в котором -m появляются флаги, могут быть значительными,
в зависимости от контроль ключевые слова. Во время обработки последовательные -m компоненты
автоматически назначаемые имена, auth_module_1, auth_module_2 и т. д., в основном для
в целях сообщения об ошибках.
An спецификация модуля авторизации имеет следующий синтаксис:
Ассоциация модуль начинается либо с имени встроенного модуля, либо с допустимого сокращения
его, или (абсолютный) URL-адрес внешнего модуля аутентификации (эквивалентный
домен URL[7] директива). Далее должно появиться ключевое слово распознанного стиля аутентификации.
спецификатор (эквивалент СТИЛЬ[8]). Далее контроль ключевое слово следует,
который идентичен КОНТРОЛЬ[9] в разделе Auth. После контроль
ключевое слово, флаги, описанные ниже, могут следовать в любом порядке.
An спецификация модуля авторизации заканчивается, когда первый недопустимый флаг (или конец флагов)
встречается.
Ассоциация -O флаг эквивалентен ВАРИАНТ[10] директива.
Ассоциация -Из за флагом следует аргумент, представляющий собой имя файла, из которого следует читать
параметры, по одному в строке, в формате имя=ценностное . Пустые строки и строки, начинающиеся с
'#' игнорируются; обратите внимание, что эти строки не начинаются с "-O", а кавычки просто
скопировано и не интерпретировано. В -Из можно использовать флаг, чтобы не вводить пароли
командную строку и упрощает написание выражений, которые иначе имели бы
быть осторожным, чтобы избежать интерпретации, например, оболочкой.
Ассоциация -выражение флаг эквивалентен EXPR[11] директива. В -vfs флаг используется для
конфигурировать VFS[12] директивы, необходимые для этого модуля.
-модулями
Отобразить список встроенных модулей аутентификации и модулей ролей, по одному в каждой строке, и
затем выйдите. Печатается каноническое имя модуля, за которым следует ноль или более эквивалентов.
сокращения. Для модулей аутентификации отображается стиль аутентификации. К списку
доступные модули, выполните команду:
% dacsauth -модули
Определяется набор доступных (включенных) встроенных модулей аутентификации и ролей.
когда DACS построено.
-p password
Укажите пароль для использования (эквивалент PASSWORD аргумент
dacs_authenticate).
Безопасность
Пароль, указанный в командной строке, может быть виден другим пользователям в том же
системы.
-ПФ файл
Прочтите пароль для использования из файл (эквивалентно PASSWORD аргумент
dacs_authenticate). если файл стоит «-», то пароль считывается со стандартного ввода
без подсказки.
-незамедлительный
Запросите пароль и прочтите его со стандартного ввода (эквивалентно PASSWORD аргумент
dacs_authenticate). Пароль не отображается эхом.
-q
Будьте тише, уменьшив выходной уровень отладки.
-r спецификация ролевого модуля
Роли для username можно определить, задав этот флаг, который немедленно
следует роли-модуль-спецификация, -r флаг может повторяться, и результирующие роли
совмещены. Каждый роли-модуль-спецификация по сути является альтернативным представлением
Пункт о ролях, который используется dacs_authenticate(8)[13]. Последовательный -r компоненты
назначенные имена, role_module_1, roles_module_2 и т. д., в основном для отчетов об ошибках
целей.
A роли-модуль-спецификация имеет следующий синтаксис:
Ассоциация модуль компонент эквивалентен предложению Roles URL[14] и является
либо имя доступного встроенного модуля ролей, либо его действительное сокращение,
или (абсолютный) URL-адрес модуля внешних ролей.
Флаги могут следовать за модуль компонент в любом порядке. А роли-модуль-спецификация заканчивается, когда
встречается первый недопустимый флаг (или конец флагов).
Ассоциация -O флаг эквивалентен ВАРИАНТ[10] директива.
Ассоциация -Из за флагом следует аргумент, представляющий собой имя файла, из которого следует читать
параметры, по одному в строке, в формате имя=ценностное . Пустые строки и строки, начинающиеся с
'#' игнорируются; обратите внимание, что эти строки не начинаются с "-O", а кавычки просто
скопировано и не интерпретировано. В -Из можно использовать флаг, чтобы не вводить пароли
командную строку и упрощает написание выражений, которые иначе имели бы
быть осторожным, чтобы избежать интерпретации, например, оболочкой.
Ассоциация -выражение флаг эквивалентен EXPR[11] директива. В -vfs флаг используется для
конфигурировать VFS[12] директив, требуемых модуль.
-u username
-user username
Имя пользователя для аутентификации (эквивалентно USERNAME аргумент
dacs_authenticate). Это имя пользователя неявно связано с действующим
федерация и юрисдикция (см. -фн[15] и -fj[16] флаги).
-v
Ассоциация -v флаг повышает уровень вывода отладки до отладки или (если повторяется) трассировки.
ПРИМЕРЫ
Безопасность
If даксаут использует встроенный модуль для аутентификации, он должен запускать setuid или
setgid, чтобы получить достаточные привилегии для доступа к необходимому файлу паролей (тот же
верно для встроенных модулей ролей). Если он использует внешний модуль, этот модуль будет
необходимо выполнить с достаточными привилегиями для доступа DACS криптографические ключи,
в частности federation_keys и, возможно, DACS или файлы системных паролей; внешний
модуль затем необходимо будет выполнить с достаточными привилегиями для доступа к любым файлам, которые он
Министерством Труда.
Обязательно используйте ключи federation_keys, которые подходят для вашей федерации. Ссылка
модули аутентификации в двух или более федерациях, вероятно, не будут работать.
даксаут поэтому обычно не должен запускаться как UID пользователя, который его вызывает.
(если это не root), потому что он не сможет получить доступ к информации
это требует. Это также предотвратит "обман" пользователя (например, прикрепление к
запущенный модуль с отладчиком).
В этом примере выполняется аутентификация пользователя «bobo» с паролем «test» против DACS файл паролей
/ usr / локальные / dacs / conf / passwd:
% dacsauth -m passwd требуется пароль
-vfs "[пароли] dacs-kwv-fs: / usr / local / dacs / conf / passwd" -q -u bobo -p test
Если статус выхода команды равен нулю, проверка аутентификации прошла успешно, в противном случае
не смогли.
В следующем примере предпринимается попытка аутентифицировать «bobo» по ее файлу паролей Unix. В
программа запрашивает пароль.
% dacsauth -m требуется пароль unix -u bobo -prompt
В следующем примере даксаут пытается аутентифицировать "bobo" через NTLM на
Winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER = "winders.example.com" -prompt -u bobo
Этот пример аналогичен предыдущему, за исключением того, что внешний модуль аутентификации
используется, а пароль считывается из файла. Из-за внешнего модуля дополнительные
конфигурация должна быть предоставлена; в частности, расположение ключей federation_keys и
должны быть указаны названия федерации и юрисдикции.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd достаточно -OSAMBA_SERVER = "winders.example.com" \
-fn ПРИМЕР -fj FEDROOT -u bobo -pf mypass \
-DVFS = "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / example / federation_keys"
Для аутентификации против Google[17] аккаунт [электронная почта защищена], можно использовать:
% dacsauth -m http пароль суфф \
-OAUTH_URL = "https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER = Электронная почта -OPASSWORD_PARAMETER = Passwd \
-Oservice = xapi -Osource = DSS-DACS-1.4 -prompt -u [электронная почта защищена]
В следующем примере выражение оценивается, чтобы определить,
должно получиться. Пользователю («бобо») предлагается ввести пароль. Только если строка "foo"
при условии, что аутентификация будет успешной. Более реалистичный пример может вызвать другую программу
помочь сделать определение, например.
% dacsauth -m выражение выражение суффи \
-expr '$ {Args :: PASSWORD} eq "foo"? $ {Args :: USERNAME}: "" '-пользователь bobo -prompt
Аутентификация против Apache htdigest файл паролей выполняется в следующем
пример, где пароль читается со стандартного ввода:
% echo "test" | dacsauth -m достаточный дайджест apache \
-OAUTH_MODULE = mod_auth_digest \
-OAUTH_FILE = / usr / local / apache2 / conf / passwords.digest \
-OAUTH_REALM = "Область аутентификации дайджеста DACS" \
-у бобо -pf -
Аутентификация через модуль PAM работает иначе, чем другие модули - и более того.
сложно использовать - потому что даксаут может потребоваться запустить несколько раз, в зависимости от того, что
информация, требуемая PAM. Вместо того, чтобы возвращать решение да / нет, даксаут может распечатать
запрашивает дополнительную информацию в stdout. Пожалуйста, ознакомьтесь с рабочими деталями, представленными в
dacs_authenticate(8)[18] и памд(8)[19] перед попыткой использования этого модуля.
В следующем примере демонстрируется использование модуля из командной строки. Когда-то основной
идеи понятны, должно быть очевидно, как написать сценарий для выполнения
необходимые итерации. Детали в примере, такие как пути, возможно, потребуется скорректировать для
ваше окружение. Обратите внимание, что в этом примере имя пользователя не указывается в первый раз.
даксаут запущен, хотя это могло быть, если бы это было известно.
% dacsauth -m pam запросил достаточно \
-vfs "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OPAMD_HOST = localhost -OPAMD_PORT = dacs-pamd -fj ПРИМЕР -fn ТЕСТ
AUTH_PROMPT_VAR1 = "Войти:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam запросил достаточно \
-vfs "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR1 = "бобо" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2 = "Пароль:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam запросил достаточно \
-vfs "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR2 = "пароль" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Первый раз даксаут запускается в примере, он возвращает приглашение для имени пользователя
("Логин:"), связанный с переменной транзакции AUTH_PROMPT_VAR1 и еще один
идентификатор транзакции (АУТ_ТРАНСИД). Последний необходимо передать последующим
казни даксаут. Второй запуск даксаут передает имя пользователя ("бобо") и
возвращает другое приглашение («Пароль:»), связанное с переменной транзакции.
AUTH_PROMPT_VAR2. При третьем запуске пароль («пароль») передается, но запрос не отображается.
возвращается, указывая, что сеанс завершен и статус выхода программы отражает
результат аутентификации.
Функции
Ли даксаут требуется пароль для получения ролей, зависит от конкретных ролей
используемый модуль. Например, пароль не требуется local_unix_roles[20] или
локальные_роли[21], чтобы получить роли, но local_ldap_roles[22], вероятно, понадобится
пароль для привязки к каталогу и получения ролей.
В этом примере строка роли для пользователя «bobo» выводится путем вызова встроенного
local_unix_roles[20] модуль:
% dacsauth -r unix -u бобо
bobo, wheel, www, пользователи
Следующий пример аналогичен предыдущему, за исключением того, что используется модуль внешних ролей:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS = "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn ПРИМЕР -u bobo
bobo, wheel, www, пользователи
Модуль внешних ролей может выполняться на другом хосте, чем тот, на котором запущен
даксаут. При условии даксаут был установлен, и соответствующий файл federation_keys
доступный на локальном хосте, локальный хост не обязательно должен быть DACS юрисдикции или иметь какие-либо
другие DACS конфигурации.
В следующем примере печатается роль string[23] для пользователя «bobo», известного в
каталог под общим названием "Бобо Бэггинс", используя (внешний) local_ldap_roles[22]
модуль и "прямой" метод привязки:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of / usr / local / dacs / ldap_roles_options_direct -u "Бобо Бэггинс" \
-DVFS = "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn ПРИМЕР -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domain_Admins, Администраторы
Поскольку в командной строке слишком много флагов,
необходимые для этого параметры считываются из файла, указанного в параметре -Из флаг.
Это также обеспечивает более безопасный способ передачи паролей программе; обеспечить доступ
к файлу ограничено соответствующим образом. Файл
/ usr / local / dacs / ldap_roles_options_direct может содержать такую конфигурацию, как эта:
LDAP_BIND_METHOD = прямой
LDAP_ADMIN_URL * = "ldap: //winders.example.com/CN=". кодировать (URL, $ {Args :: DACS_USERNAME}). ", CN = Пользователи, DC = пример, DC = com"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Следующий пример похож на предыдущий, за исключением того, что в нем используется «косвенная» привязка.
метод, и поэтому ему не нужно давать общее имя пользователя:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of / usr / local / dacs / ldap_roles_options_indirect -u bobo \
-DVFS = "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn ПРИМЕР -fj FEDROOT -p bobospassword
DnsAdmins, Print_Operators, Domain_Admins, Администраторы
Файл / usr / local / dacs / ldap_roles_options_indirect может содержать такую конфигурацию, как
это:
LDAP_BIND_METHOD = косвенный
LDAP_ADMIN_URL = ldap: //winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Искать в разделе "Пользователи ..."
LDAP_SEARCH_ROOT_DN = CN = Пользователи, DC = пример, DC = com
LDAP_ADMIN_PASSWORD = theSecretAdminPassword
LDAP_SEARCH_FILTER * = "(sAMAccountName = $ {Args :: DACS_USERNAME})"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Предположим, кто-то хочет использовать даксаут для аутентификации пользователя через LDAP способом, аналогичным
эта конфигурация dacs.conf:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
СТИЛЬ "пароль, add_roles"
КОНТРОЛЬ «требуется»
LDAP_BIND_METHOD "прямой"
LDAP_USERNAME_URL * '"ldap: //winders.example.com/cn=". кодировать (URL, $ {Args :: USERNAME}). ", cn = Пользователи, dc = example, dc = local" '
LDAP_USERNAME_EXPR * '"$ {LDAP :: sAMAccountName}"'
LDAP_ROLES_SELECTOR * '"$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): "" '
Такой файл (например, / usr / local / dacs / ldap_auth_options_direct) будет содержать
следующие директивы:
LDAP_BIND_METHOD = прямой
LDAP_USERNAME_URL * = "ldap: //winders.example.com/cn=". кодировать (URL, $ {Args :: USERNAME}). ", cn = Пользователи, dc = example, dc = local"
LDAP_USERNAME_EXPR * = "$ {LDAP :: sAMAccountName}"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Затем аутентификацию можно будет выполнить с помощью такой команды:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate пароль суфф \
-Of / usr / local / dacs / ldap_auth_options_direct \
-DVFS = "[ключи_федерации] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn ПРИМЕР -u bobo -prompt
ДИАГНОСТИКИ
Программа выйдет из 0, если аутентификация прошла успешно, или с 1, если аутентификация не удалась, или
произошла ошибка.
Используйте dacsauth онлайн с помощью сервисов onworks.net
