Это команда dacstoken, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
dacstoken - администрирование одноразовых паролей на основе хешей
СИНТАКСИС
Dacstoken [опции[1]] [-все] [-основание Num] [-счетчик Num] [-цифры Num]
[-запрещать | -включить] [-горячее окно Num] [-чернила тип вещи]
[[-ключ ключевой] | [-key-файл имя файла] | [ключ-подсказка]] [-Режим otp-режим]
[-выходы тип вещи]
[[-Контактный Pinval] | [-pin-файл имя файла] | [-пин-подсказка]] [-pin-ограничения ул]
[-rnd] [-семена ул] [-serial ул] [-totp-дельта Num] [-totp-дрифт нвиндовс]
[-totp-хэш ALG]
[-totp-временной шаг сек] [-vfs vfs_uri] [операционная спецификация] [username]
ОПИСАНИЕ
Эта программа является частью DACS на.
Ассоциация Dacstoken коммунальное предприятие управляет DACS учетные записи, связанные с одноразовым паролем (OTP)
генерирующие устройства (лексемы) или программных клиентов. Используя параметры командной строки, он также
вычисляет значения OTP; параметры учетной записи токена могут быть переопределены, но учетные записи даже не
требуется.
Надежная двухфакторная аутентификация может быть предоставлена, когда dacs_authenticate[2] настроен
использовать local_token_authenticate[3] модуль аутентификации или когда Dacstoken используется как
автономная программа для проверки паролей. Оба режима одноразового пароля на основе HMAC
(HOTP), основанный на счетчике событий и указанный RFC 4226[4], а временные
режим одноразового пароля (TOTP), как указано последний IETF Интернет-проект[5] предложение,
поддерживаются. дополнительный оперативный Режимы[6] называется OCRA (Присяга Вызов-ответ
Алгоритмы), описанные в Интернет-проекте IETF, еще не полностью поддерживаются.
Внимание
Эта версия Dacstoken включает множество изменений, которые не имеют обратной совместимости
с выпуском 1.4.24a и ранее. Некоторые флаги командной строки работают по-другому, и
формат файла учетной записи изменился. Если вы использовали эту команду ранее
выпусков, сделайте резервную копию файла учетной записи токена и просмотрите это руководство
внимательно перед тем, как продолжить (обратите внимание на -перерабатывать flag [7], в частности).
Важнo
Никакого программного обеспечения поставщика не требуется. Dacstoken для обеспечения его функциональности. В
поддерживаемые в настоящее время устройства не нуждаются в регистрации или настройке
с поставщиками и Dacstoken приносит не взаимодействовать продавцов серверы or использование любой
( изучите наши патенты), программное обеспечение. Для работы может потребоваться программное обеспечение, поставляемое поставщиком.
однако инициализация или конфигурация для других токен-устройств и Dacstoken приносит
не оказывать им такой поддержки.
Каждое устройство с токенами обычно соответствует ровно одной учетной записи, которой управляет
Dacstoken, хотя некоторые поставщики производят токены, которые могут поддерживать несколько учетных записей.
Подводя итог, эта утилита:
· Создает и администрирует DACS счета, связанные со счетчиками и повременными
одноразовые пароли
· Обеспечивает функциональность проверки и тестирования
· Обеспечивает возможность аутентификации в командной строке
Безопасность
Только DACS администратор должен иметь возможность успешно запустить эту программу из
командная строка. Потому что DACS ключи и файлы конфигурации, включая файл, используемый для
учетные записи магазина, должны быть ограничены администратором, обычно это
случае, но внимательный администратор установит права доступа к файлам, чтобы запретить доступ всем
другие пользователи.
Внимание
Ассоциация dacs_token(8)[8] веб-сервис предоставляет пользователям ограниченное самообслуживание.
возможность установки или сброса ПИН-кода учетной записи и синхронизации токена. Это также
имеет демонстрационный режим для упрощения тестирования и оценки.
PINs (Счет Пароли)
A Dacstoken учетная запись может дополнительно иметь связанный с ней PIN-код (т. е. пароль). К
аутентифицироваться с такой учетной записью, пользователь должен предоставить одноразовый пароль, созданный
по знаку и Контактный. В ТОКЕН_REQUIRES_PIN[9] конфигурационная директива определяет
необходимо ли вводить ПИН-код при создании или импорте учетной записи; это не применяется в
в сочетании с -делпин флаг, поскольку только администратор должен иметь возможность выполнять
эта функция.
Хэш ПИН-кода хранится в записи учетной записи, а не сам ПИН. То же
метод, используемый dacspasswd(1)[10] и dacs_passwd(8)[11] применяется и зависит от
ПАРОЛЬ_DIGEST[12] и ПАРОЛЬ_SALT_PREFIX[13] действующих директив. Если
ПАРОЛЬ_DIGEST[12] настроен, этот алгоритм используется, в противном случае время компиляции
используется по умолчанию (SHA1). Если пользователь забудет ПИН-код, старый не может быть восстановлен, поэтому он
необходимо либо удалить, либо установить новый.
В некоторые устройства с токенами встроена возможность ввода ПИН-кода. Пользователь должен ввести ПИН-код в
устройство перед устройством выдаст одноразовый пароль. Этот "PIN-код устройства"
полностью отличается от ПИН-кода аккаунта, которым управляет Dacstoken, и это руководство
касается только Dacstoken ШТЫРЬ. По возможности всегда следует использовать PIN-код устройства;
домен Dacstoken ПИН-код настоятельно рекомендуется и необходим для двухфакторной аутентификации.
(если не применяется дополнительный фактор аутентификации каким-либо другим способом).
Поскольку только администратор может запускать эту команду, никаких ограничений не накладывается.
о длине или качестве PIN-кодов, которые предоставляет администратор; предупреждающее сообщение
будет выдан, однако, если пароль считается слабым, как определено
ПАРОЛЬ_CONSTRAINTS[14] директива.
Один раз пароли
Оба типа устройств одноразового пароля вычисляют значение пароля, используя безопасный
ключевой алгоритм хеширования (RFC 2104[15], ФИПС 198[16]). В методе счетчика устройство
и сервер совместно используют секретный ключ и значение счетчика, которые хешируются для получения числового
значение отображается в определенной системе счисления с определенным количеством цифр. Успешный
аутентификация требует, чтобы устройство и сервер вычислили совпадающие пароли. Каждый раз
устройство выдает пароль, увеличивает его счетчик. Когда сервер получает совпадение
пароль увеличивает его счетчик. Потому что два счетчика могут стать
несинхронизировано, алгоритм сопоставления сервера обычно разрешает пароль клиента
попасть в «окно» значений счетчика. Повременный метод аналогичен, основной
разница в том, что текущее время Unix (возвращаемое время(3)[17], например)
используется для установления «окна временного шага», которое служит значением счетчика при вычислении
безопасного хэша. Поскольку часы реального времени на устройстве и сервере могут не быть
достаточно синхронизирован, алгоритм сопоставления сервера также должен позволять
пароль, чтобы попасть в некоторое количество окон временного шага для этих устройств.
Безопасность
Токену может быть назначен постоянный секретный ключ (иногда называемый начальным значением OTP) по его
производитель или ключ могут быть программируемыми. Этот секретный ключ используется токеном
процедура генерации пароля, и очень важно, чтобы она оставалась конфиденциальной. Если жетон
не программируется, ключ получен от поставщика (для токена HOTP обычно
путем предоставления серийного номера устройства и любых трех последовательных паролей). Запись
каждого сопоставления серийного номера с секретным ключом следует хранить в безопасном месте.
Если секретный ключ является программируемым, как это, вероятно, будет с программным клиентом, он
требуется быть по крайней мере 128 бит по длине; минимум 160 биты Рекомендовано. В
Ключ представлен шестнадцатеричной строкой длиной 16 (или более) символов. Ключ должен
быть полученным из источника случайных битов с криптографическим качеством. Некоторые клиенты могут быть
способен сгенерировать подходящий ключ, но вы можете использовать даксэкспр(1)[18]:
% dacsexpr -e "случайный (строка, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Функции
Токены могут использоваться не только для входа на компьютер, но и для целей аутентификации. За
Например, предоставив номер счета, ПИН-код и стоимость токена, клиенты могут быстро
аутентифицироваться по телефону, что сокращает или устраняет необходимость в дорогостоящих и
трудоемкие контрольные вопросы.
Устройства и приложения с одноразовым паролем имеют следующие рабочие параметры.
Эти параметры определяют генерируемую последовательность паролей. Некоторые оперативные
параметры могут быть фиксированными (соответствующим стандартом или в связи с реализацией), а
другие могут частично или полностью настраиваться пользователем. Пожалуйста, обратитесь к
ссылки и документация производителя для получения подробной информации.
Использование темпера с изогнутым основанием
Система счисления, в которой отображаются пароли.
противодействие
Только для режима HOTP - текущее значение счетчика.
цифры
Количество цифр в каждом одноразовом пароле.
ключ
Секретный ключ (OTP seed).
серийный номер
Уникальный идентификатор или имя устройства.
размер временного шага
Только для режима TOTP: ширина каждого временного интервала в секундах. Тот же пароль
будет сгенерирован в заданном интервале; т.е. это "время жизни" или срок действия
период каждого пароля TOTP.
Помимо этих параметров, Dacstoken использует несколько для каждой учетной записи (т. е. для каждого устройства)
параметрами:
окно приема
При проверке пароля HOTP максимальное количество паролей, которое следует учитывать после
ожидаемый пароль.
дрейфовать
Только для режима TOTP: количество секунд, на которое нужно настроить часы сервера.
вперед или назад, чтобы лучше синхронизировать его с устройством. Это используется для
компенсировать токены или клиентское программное обеспечение, часы которого не синхронизированы с
сервера.
окошко
Только для режима TOTP, но аналогично окну принятия, максимальное количество
интервалы (каждый размер временного шага) для поиска вперед и назад при проверке
против заданного пароля.
синхронизация
Только для режима HOTP количество последовательных одноразовых паролей, необходимых для
синхронизировать учетную запись с устройством.
username
Имя DACS аккаунт привязан к устройству.
Аутентификация устройств с использованием одноразового пароля имеет следующие преимущества:
· Каждый раз, когда пользователь аутентифицируется, будет генерироваться другой пароль (с высоким
вероятность); поэтому пользователи не могут записать «пароль», потому что пароль
всегда меняется; пользователи не могут забыть свой пароль;
· После использования пароль режима HOTP немедленно «расходуется» и вряд ли будет использован.
снова надолго; с подходящими параметрами конфигурации, пароль режима TOTP
автоматически "истекает" в течение относительно короткого промежутка времени и вряд ли будет
пользовался снова долгое время;
· Если коррекция дрейфа часов не требуется, учетная запись в режиме TOTP может быть доступна только для чтения.
операция;
· Поскольку пароль вряд ли будет легко угадываемым числом или строкой, его следует
быть надежнее большинства паролей, выбранных пользователем;
· Токен HOTP может быть основой метода взаимной («двунаправленной») аутентификации; в
сервер показывает пользователю следующий пароль его токена, чтобы подтвердить его личность (с обоими
стороны, продвигающие свои счетчики), затем клиент показывает серверу следующий пароль
для подтверждения его личности;
· Если на компьютере пользователя установлен перехватчик ключей, перехватить пароль не удастся.
принести злоумышленнику хоть какую-то пользу, если только человек-в-середине атаковать[19] возможно; данный N
последовательные пароли все еще очень сложно вычислить пароль N + 1 без
знание секретного ключа;
· Пользователям сложнее поделиться учетной записью (хотя иногда пользователи могут
рассматривайте это как неудобство);
· Если Dacstoken ПИН-код назначается учетной записи, и злоумышленник получает
токен, злоумышленнику по-прежнему сложно пройти аутентификацию, не зная ПИН-кода;
· Быстрый и незамедлительно эффективный способ отключить учетную запись - просто захватить
аппаратный токен (например, если сотрудник уволен), хотя учетная запись может быть отключена
эту программу или используя отзыв список[20];
· В случае программного клиента, который работает на мобильном устройстве, таком как телефон или КПК,
пользователи уже носят устройство с собой; доступны бесплатные клиенты, так что там
может быть без дополнительных затрат (обратите внимание, что мобильные устройства могут не предлагать такие же
устойчивость к взлому, долговечность, секретность ключа, точность часов и т. д. аппаратного токена).
Устройства с одноразовым паролем имеют следующие потенциальные недостатки:
· Существует единовременная оплата аппаратного токена (в зависимости от объема покупки,
вы можете рассчитывать заплатить от 10 до 100 долларов каждый), и есть вероятность того, что
заменить потерянный или сломанный жетон или батарею жетона (у некоторых юнитов есть
несменный аккумулятор, что делает их одноразовыми через несколько лет);
· Первоначальная настройка несколько сложнее, чем при другой аутентификации
методы, и пользователи, незнакомые с устройствами, должны быть проинструктированы об их
использование;
· Хотя они, как правило, довольно маленькие (например, 5 см x 2 см x 1 см) и могут быть прикреплены к
брелок или шнурок, или хранящиеся в кошельке, пользователи могут вздрогнуть от необходимости носить жетон
вокруг с ними;
· Пользователи могут забыть иметь при себе свой токен или потерять токен;
· Мобильное устройство (с программным клиентом), вероятно, является вероятной целью кражи, более того
так, чем аппаратный токен (отсюда особая важность ПИН-кода для этого устройства);
· В отличие от аппаратного жетона, где ключ выгорает в недоступном, защищенном от взлома
памяти, ключ, настроенный в программном клиенте, вероятно, будет доступен для чтения его
владелец, что делает возможным совместное использование учетной записи;
· Ввод начального значения из 40 символов и более в мобильное устройство может вызывать затруднения.
и подвержены ошибкам;
· После того, как устройство TOTP сгенерирует пароль, новый пароль не может быть сгенерирован до тех пор, пока
окно следующего временного шага, требующее от пользователя ожидания 30 (или, возможно, 60) секунд (например,
если допущена ошибка ввода);
· Некоторые устройства плохо читаются в условиях низкой освещенности; пресбиопические пользователи и те
с ослабленным зрением могут испытывать трудности с чтением дисплея.
Учетные записи
Счета, управляемые Dacstoken полностью отделены от учетных записей, используемых
local_passwd_authenticate[21] или любой другой DACS модуль аутентификации.
Учетные записи для устройств HOTP и TOTP могут быть объединены или храниться отдельно. Если виртуальный
Определен тип элемента хранилища файлов auth_hotp_token, он используется только для связанных учетных записей
токенами HOTP. Точно так же, если тип элемента виртуального файлового хранилища auth_totp_token равен
определено, он используется только для учетных записей, связанных с токенами TOTP. Если какой-либо тип элемента
не определено, доступ к аккаунтам осуществляется через DACS виртуальное хранилище файлов с использованием типа элемента
auth_token. Предполагается, что права доступа к файлам в базах данных учетных записей таковы, что все
доступ ограничен администратором и local_token_authenticate.
Если учетные записи для двух типов устройств сочетании , потому что каждое имя пользователя для
метод аутентификации должен быть уникальным, если у человека есть оба типа токенов, они должны
получить разные имена пользователей. Так, например, если у Огги есть один токен HOTP и один
Токен TOTP, первый может соответствовать имени пользователя auggie-hotp, а второй -
Огги-Тотп; форма входа может включать ввод в режиме устройства, что позволит Огги
просто введите «Огги» в поле имени пользователя и JavaScript, чтобы автоматически добавить
соответствующий суффикс в зависимости от режима выбора устройства. Очевидный недостаток этого
конфигурация состоит в том, что это приводит к двум различным DACS идентичности для одного и того же человека;
об этом следует помнить, если правило контроля доступа необходимо для идентификации Огги.
явно. Если оба токена должны соответствовать одному и тому же DACS identity, предложение Auth могло
удалите суффикс после успешной аутентификации, но тогда администратор
нужно остерегаться случая двух разных Auggies, каждый из которых использует свой тип устройства.
Настройка типов элементов auth_hotp_token и auth_totp_token (или только одного из них
и auth_token) разделяет учетные записи и позволяет использовать одно и то же имя пользователя для
оба типа устройств. Следовательно, у Огги может быть учетная запись с тем же
имя пользователя для обоих типов устройств. Этот подход требует указания режима устройства.
когда операция запрашивается, чтобы можно было использовать правильный тип элемента; это означает, что
пользователи должны знать, какой тип устройства они используют (возможно, прикрепив к нему ярлык).
См. Важные подробности относительно DACS тождества [22].
Ассоциация -vfs используется для настройки или перенастройки типа элемента auth_token.
Только ключи, которые соответствуют минимальной длине ключа (16 байтов) может храниться с
информация об учетной записи (например, с -набор or -Импортировать). В других контекстах требование
не применяется.
Секретный ключ зашифрован Dacstoken когда он записан в файл аккаунта. В
Тип элемента виртуального хранилища файлов auth_token_keys определяет ключи шифрования для Dacstoken
использовать; в -чернила и -выходы флаги указывают альтернативы (см. дакски(1)[23]). Если
ключи шифрования потеряны, секретные ключи практически не подлежат восстановлению.
Важнo
Если злоумышленник обнаруживает секретный ключ, он генерирует полезные пароли, не обладая
жетон не составит труда. По крайней мере, для некоторых аппаратных токенов ключ сгорает
в устройство и не может быть изменен; в этом случае, если ключ протек, устройство
должен быть уничтожен. В случае утери токена соответствующая учетная запись должна быть отключена.
В случае, если злоумышленник найдет утерянный токен или обнаружит секретный ключ, имея надежный
PIN-код, связанный с учетной записью, затруднит получение злоумышленником
доступа.
Важнo
· Этот метод аутентификации был протестирован на следующих продуктах OTP:
· Аутенекс Ключ 3600[24] аппаратный токен одноразового пароля (HOTP);
· Feitian технологии[25] Аппаратное обеспечение одноразового пароля OTP C100 и OTP C200
токены, предоставленные ГиперСеку Информация системы[26]; а также
· Присяга Токены[27] программное обеспечение от Archie Cobbs, которое реализует оба
HOTP и TOTP на IPOD Сенсорный, iPhone, и IPad[28].
· Фейтян Технологии Клятва Lite[29] Программное обеспечение HOTP для iPod
Touch, iPhone и iPad.
Другие производители, заинтересованные в поддержке своей продукции DACS Он
добро пожаловать, чтобы связаться с Dss.
· Фото[30]: Feitian OTP C200, iPod Touch с приложением OATH Token, Authenex A-Key
3600 (по часовой стрелке сверху слева)
· Хотя эта реализация должна работать с аналогичными, совместимыми продуктами, только
эти продукты официально поддерживаются DACS.
· Аппаратные токены можно приобрести напрямую у продавцов.
· Любые проблемы с использованием токенов для аутентификации через DACS не
ответственность продавца токенов.
Импортирующий и Экспорт ОТП Учетные записи
Описания учетных записей и их токенов можно загружать или выгружать (см. -Импортировать
и -экспорт флаги). Это упрощает массовую подготовку, резервное копирование и переносимость. В
информация об учетной записи записывается в простом, ориентированном на приложение (почти) формате XML.
Формат, понятный Dacstoken состоит из корневого элемента ("otp_tokens"), за которым следует
ноль или более элементов "otp_token", по одному на строку, каждый с обязательными и необязательными
атрибуты (описаны ниже). Объявление XML необходимо опустить. Ведущие пробелы и
пустые строки игнорируются, как и однострочные XML-комментарии. Кроме того, строки со знаком "#"
поскольку первый непробельный символ игнорируется. Необязательные атрибуты, которые не
Настоящим присваиваются значения по умолчанию. Алгоритм дайджеста по умолчанию - SHA1. Короткий атрибут
имена используются для экономии места. Неопознанные атрибуты и атрибуты, не относящиеся к
режим устройства, игнорируются. Одиночные или двойные кавычки (или и то, и другое) в атрибуте XML
значения должны быть заменены соответствующей ссылкой на сущность ("'" и "" ",
соответственно), как и символы «<» (меньше) и «&» (амперсанд). A ">" (больше
than) можно при желании заменить последовательностью ">", но не другими объектами
ссылки признаются.
Признанные атрибуты:
· Б:
Использование темпера с изогнутым основанием
- основание системы счисления для значения OTP
[По желанию:
10 (По умолчанию),
16или 32]
· C:
противодействие
- текущее значение счетчика для HOTP, в шестнадцатеричном формате, если перед ним указан
на «0x» (или «0X»), в противном случае - десятичное
[По желанию:
по умолчанию 0]
· D:
ОТП устройство Режим
- «c» (для HOTP)
или "t" (для TOTP)
[Необходимые]
· Дн:
название дайджеста
- один из алгоритмов безопасного хеширования
[По желанию:
SHA1 (по умолчанию),
ША224, ША256,
SHA384, SHA512]
· Доктор:
часовой дрейф
- регулировка часов в секундах для TOTP
[Необязательный]
· Эк:
зашифрованный ключ
- зашифрованный секретный ключ в кодировке base-64
[Необходимые:
Только записи аккаунта OTP]
· En:
включен-статус
-- 1 для включенного,
0 для инвалидов
[Необходимые]
· K:
открытый текст-ключ
- незашифрованный секретный ключ
[Необходимые]
· Lu:
последнее обновление
- Unix время последнего обновления записи
[Необязательно: по умолчанию текущее время]
· Nd:
nцифр
- количество цифр для значения OTP
[По желанию:
по умолчанию 6 для HOTP,
8 для TOTP]
· п:
открытый текст-PIN
- ПИН-код в виде открытого текста для учетной записи
[Необходимые:
если ph не присутствует,
только для импорта]
· Тел .:
хешированный ПИН
- хешированное значение ПИН-кода для аккаунта
[По желанию:
Сгенерированно с помощью Dacstoken
только для файлов экспорта и учетных записей OTP]
· С:
серийный номер
- строка уникального идентификатора устройства
[Необходимые]
· Ц:
шаг времени
- значение временного шага в секундах для TOTP
[По желанию:
по умолчанию 30]
· U:
username
- действующий DACS имя пользователя, связанное с этой учетной записью
[Необходимые]
В следующем примере описываются две учетные записи, которые могут быть созданы с помощью -Импортировать флаг:
Безопасность
Поскольку импортированные записи включают незашифрованные секретные ключи для устройств OTP,
экспортируемый файл должен храниться в зашифрованном виде (например, с использованием OpenSSL) или, по крайней мере,
соответствующие права доступа к файлам.
Внимание
Стандартный формат для инициализации устройства OTP находится в стадии разработки. Этот формат может быть
понимается будущей версией Dacstoken, или может быть написана утилита преобразования.
Стандартный формат, вероятно, будет значительно сложнее, чем DACS формат.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
В дополнение к стандарту опции[1], длинный список флагов командной строки
признал. Когда username задано, значения по умолчанию, связанные с этой учетной записью:
используются, в противном случае используются рекомендуемые или зависящие от реализации значения по умолчанию. Эти по умолчанию
значения обычно можно переопределить в командной строке. Некоторые флаги разрешены только с
конкретный режим токена (например, -счетчик, -totp-шоу) и их внешний вид подразумевает, что режим,
что делает -Режим отметьте ненужным; другие флаги не зависят от режима (например, -удалять,
-включить). Использование несовместимой комбинации флагов является ошибкой. Флаги, которые
бессмысленные с выбранной операцией игнорируются, хотя по-прежнему подразумевают режим.
Шестнадцатеричные значения нечувствительны к регистру. Если значение счетчика требуется, но не указано
(например, при создании учетной записи) используется начальное значение счетчика, равное нулю.
Ассоциация операционная спецификация указывает операцию, которая должна быть выполнена, вместе с нулем или более изменение
флаги. Если операционная спецификация отсутствует, -список операция выполнена. An операционная спецификация является одним из
следующие:
-аутентификация otp-значение
Этот флаг похож на -Validate[31], за исключением:
· А username требуется, из которого берутся все параметры (например, ключ);
· Если в аккаунте есть ПИН-код, он должен быть предоставлен;
· Если учетная запись предназначена для токена HOTP, счетчик будет обновлен при аутентификации
успешный.
Нулевой статус выхода указывает на успешную аутентификацию, а любое другое значение
означает, что аутентификация не удалась.
-перерабатывать имя файла
Загрузите файл учетной записи токена более старого формата (до выпуска 1.4.25) из имя файла ("-"
означает чтение из стандартного ввода), преобразовать его в более новый формат и записать в стандартный вывод (как
by -экспорт). Этот флаг устарел, и эта возможность будет удалена в будущем.
релиз DACS.
-Создайте
Создать учетную запись для username, который еще не должен существовать. В остальном это
работает как -набор[32]. При создании новой учетной записи -serial требуется и -ключ is
подразумевается. Если нет -включить флаг предоставляется при создании учетной записи, -запрещать подразумевается.
Если нет -счетчик установлен флаг, по умолчанию используется ноль. Если один из флажков PIN
присутствует, данный PIN-код будет присвоен учетной записи, в противном случае учетная запись не будет
иметь PIN-код (или существующий PIN-код не будет изменен).
-ток
Отображение текущего коэффициента перемещения (т. Е. Значения счетчика для HOTP или интервала
значение для TOTP) и ожидаемый одноразовый пароль для username. Для HOTP счетчик продвинут. Все
параметры берутся из аккаунта.
-удалять
Удалить аккаунт для username. Секретный ключ устройства и другие оперативные
параметры будут потеряны.
-делпин
Удалите PIN-код, если он есть, в учетной записи для username, оставив аккаунт без
ШТЫРЬ.
-экспорт
Напишите информацию обо всех учетных записях или только об одной учетной записи, если username дается, чтобы
стандартный вывод. Однако, если выбран режим, только учетные записи, имеющие этот режим, будут
написано. Эта информация может быть перезагружена с помощью -Импортировать or -импорт-заменить. Выход
должны храниться в зашифрованном виде или, по крайней мере, иметь права доступа к файлам
установить соответствующим образом. Например:
% dacstoken -uj ПРИМЕР -экспорт | openssl enc -aes-256-cbc> dacstoken-exported.enc
Позже вы можете сделать что-то вроде:
% openssl enc -d -aes-256-cbc <dacstoken-exported.enc | dacstoken -uj ПРИМЕР -импорт -
-h
-Помощь
Отобразите справочное сообщение и выйдите.
-горячее шоу Num
Дисплей Num последовательные пароли HOTP от заданного значения счетчика и ключа. В
-счетчик Флаг может использоваться для указания начального значения счетчика. Ключ может быть
указано с использованием -ключ, -key-файлили ключ-подсказка, Если username предоставляется,
начальное значение счетчика и ключ получены из учетной записи HOTP пользователя, если только
значение переопределяется в командной строке; сохраненное значение счетчика учетной записи не
изменен. Это в основном предназначено для целей отладки.
-Импортировать имя файла
-импорт-заменить имя файла
Загрузить информацию об аккаунте и токене из имя файла; если имя файла "-", stdin читается.
Если выбран режим, будут прочитаны только те учетные записи, которые имеют этот режим. С участием -Импортировать это
ошибка, если импортированная учетная запись уже существует, и обработка останавливается; -импорт-заменить
заменит существующую учетную запись импортированными данными.
-l
-список
-долго
If username предоставляется, отображать информацию о соответствующей учетной записи; если
-serial установлен флаг, отображать информацию об аккаунте с указанным серийником
номер; в противном случае перечислить все учетные записи. Если -Режим флаг дается в любом из этих случаев,
однако перечислите только те учетные записи, для которых указан рабочий режим. Если это
флаг повторяется, или с -долго флаг, отображается более подробная информация: тип устройства,
статус аккаунта, серийный номер устройства, значение счетчика (для HOTP), значение дрейфа часов (для
TOTP), независимо от того, есть ли у учетной записи PIN-код (обозначается символом «+» или «-»), и
время и дата последнего изменения аккаунта.
-переименовать Новое имя пользователя
Переименовать существующую учетную запись в username быть Новое имя пользователяи измените новый
учетной записи с использованием аргументов командной строки (как с -набор[32]). Поскольку это требует двух шагов
которые не выполняются атомарно, в случае возникновения ошибки новая учетная запись может
будет создана, а старая учетная запись все еще существует.
-набор
Ассоциация -набор флаг используется для изменения существующей учетной записи для username на основе одного или нескольких
аргументы модификатора (-основание, -счетчик, -цифры, -запрещать or -включить, -ключ (или -key-файл
or ключ-подсказка), -Контактный (или -pin-файл or -пин-подсказка), или -serial). Режим также может быть
изменено указанием -Режим, но параметры режима, связанные с учетной записью
будут потеряны (например, текущее значение счетчика будет удалено, если учетная запись HOTP
изменен на учетную запись TOTP), а общие параметры (такие как серийный номер) будут
сохраняется, если не переопределено в командной строке.
-синхронизация список паролей
В режиме HOTP это пытается синхронизировать сервер с токеном для username,
список паролей представляет собой список из трех последовательных паролей, разделенных запятыми, созданных
токен пользователя (эта функция "автосинхронизации" также доступна через
local_token_authenticate[3]). Данная последовательность должна соответствовать вычисленной последовательности
точно,, учитывая действующие рабочие параметры; например, ведущие нули
важно, как и основание системы счисления и количество действующих цифр одноразового пароля. Если
синхронизация прошла успешно, пользователь должен иметь возможность аутентифицироваться с помощью следующего
пароль, выдаваемый устройством. Алгоритм исчерпывающего поиска с использованием увеличения
используются значения счетчика с ограничением времени компиляции на максимальное количество
вычисления. Поиск начинается с текущего сохраненного значения счетчика сервера, если только
один предоставляется с использованием -счетчик. В случае неудачи эта операция может занять много времени.
до его завершения; пользователь должен обратиться за помощью к администратору.
В режиме TOTP попытайтесь определить, насколько точно синхронизированы системные часы с
часы токена и отобразите результат. Эта информация может быть использована для обновления
запись токена пользователя для компенсации плохо синхронизированных часов или для настройки
параметры проверки. Ключ токена и имя алгоритма дайджеста
получен для записи токена, принадлежащей username, если дано; иначе ключ
запрашивается, и алгоритм дайджеста для использования либо получается из команды
строка или значение по умолчанию. Только первый пароль в список паролей используется.
-totp-временной шаг, -цифрыкачества -totp-база параметры действуют во время этой операции.
-test
Выполните несколько самопроверок и выйдите. Ненулевой статус выхода означает, что произошла ошибка.
-totp-шоу Num
Отобразите последовательность паролей TOTP, используя текущие параметры:
размер интервала (-totp-временной шаг), количество цифр (-цифры) и база (-основание).
сохраненные параметры аккаунта не изменяются. В основном это предназначено для отладки
целей.
Если username предоставляется (он должен быть связан с устройством TOTP), ключ и
другие сохраненные параметры из учетной записи используются, если они не переопределены командной строкой
флаги. Последовательность паролей для Num интервалы до и после текущего времени,
вместе с паролем на текущее время распечатываются.
Если нет username дается, программа запрашивает ключ (который отображается эхом) и использует
флаги командной строки или значения по умолчанию для параметров. Затем он выдает пароль TOTP.
на текущее время каждый раз, когда нажимается Return / Enter. Ввод EOF вызывает немедленное
прекращение.
-Validate otp-значение
If otp-значение следующий ожидаемый одноразовый пароль, вернуть нулевой статус выхода для
указывают на успех; любое другое значение указывает на сбой. Если username задано, параметры
для проверки, включая ключ, получены из этой учетной записи, если не переопределено на
командная строка. Состояние сервера не меняется; например, счетчик HOTP не
передовой. Если нет username дано -Режим должен использоваться флаг, а параметры
должны быть указаны необходимые для этого режима, включая ключ. Для режима HOTP значение счетчика
должно быть предоставлено. Для режима TOTP во время этого действуют параметры командной строки.
Проверка. Dacstoken проверим, есть ли otp-значение проверяет параметры в
Эффект.
Следующие изменение под флагами понимаются:
-все
Доступно -набор и нет username, примените изменения к Найти Счета. Это можно использовать для
включить или отключить, например, все учетные записи. В -чернила и -выходы флаги
заслуженный. При возникновении ошибки обработка немедленно прекращается, и в этом случае только некоторые
учетные записи могли быть изменены.
-основание Num
Используйте Num как основание (основание системы счисления) при отображении одноразового пароля. Значение Num ограничено
10 (по умолчанию), 16или 32.
-счетчик Num
Это устанавливаемое 8-байтовое значение счетчика HOTP, выраженное в шестнадцатеричном формате, если ему предшествует
на «0x» (или «0X»), в противном случае - десятичное. Начальные нули можно опустить. Это подразумевает HOTP
режим. Для устройств с токенами не должно быть возможности сбросить счетчик (счетчик по модулю
переполнение), потому что это приведет к повторению последовательности паролей, предполагая
что ключ не изменен; реализации программного обеспечения могут не иметь этого ограничения,
однако будьте осторожны с последствиями для безопасности.
-цифры Num
Используйте Num цифры при отображении одноразового пароля. Значение Num ограничено 6, 7, 8 (
по умолчанию), или 9 с базой 10. Это ограничено 6 с базой 32 и игнорируется
Использование темпера с изогнутым основанием 16 (шестнадцатеричный вывод).
-запрещать
Отключить учетную запись для username, local_token_authenticate модуль и -аутентификация и
-Validate flags, не позволит пользователю пройти аутентификацию, пока учетная запись не будет
включен, хотя другие операции по-прежнему могут выполняться с учетной записью. Если -включить
впоследствии используется, учетная запись станет пригодной для аутентификации и будет
восстановлен до состояния на момент отключения. Отключение
уже отключенная учетная запись.
-включить
Включите учетную запись для username, local_token_authenticate модуль позволит
пользователь для аутентификации. Включение уже включенной учетной записи не является ошибкой.
-горячее окно Num
Если ожидаемый пароль HOTP не совпадает с заданным паролем, попробуйте сопоставить до
Num пароли после ожидаемого пароля в последовательности. Нулевое значение для Num
отключает этот поиск.
-чернила тип вещи
Для расшифровки секретных ключей используйте хранилище, обозначенное тип вещипредположительно
настраивается в dacs.conf.
-ключ ключевой
Используйте ключевой как секретный ключ, выраженный в виде строки шестнадцатеричных цифр.
Безопасность
Ввод ключа в командной строке небезопасен, потому что он может быть виден
другие процессы.
-key-файл имя файла
Прочтите секретный ключ, представленный в виде строки шестнадцатеричных цифр, из имя файла. Если имя файла is
«-», ключ читается со стандартного ввода.
ключ-подсказка
Запросить секретный ключ, представленный в виде строки шестнадцатеричных цифр. Вход не отображается эхом.
-Режим otp-режим
Это указывает (без учета регистра) тип токена (режим устройства OTP) для использования.
-набор, -Создайте, а также операции проверки и синхронизации. В otp-режим может быть
либо counter, либо hotp для режима счетчика, либо time, либо totp для временного режима. Этот
флаг необходим при создании новой учетной записи.
-выходы тип вещи
Для шифрования секретных ключей используйте хранилище, обозначенное тип вещи, предположительно определенное
в dacs.conf.
-Контактный Pinval
Используйте Pinval в качестве секретного ПИН-кода для учетной записи.
Безопасность
Ввод ПИН-кода в командной строке небезопасен, потому что он может быть виден
другие процессы.
-pin-ограничения ул
Вместо того, чтобы использовать ПАРОЛЬ_CONSTRAINTS[14], используйте ул (с таким же синтаксисом и
семантика) для описания требований к ПИН.
Внимание
Требования к PIN-коду применяются к PIN-кодам, полученным с помощью флага командной строки, и к тем
полученные путем импорта (с использованием атрибута "p"). Требования нет
"с обратной силой", поэтому изменение требований не влияет на PIN-коды
существующие учетные записи или импорт учетных записей, которые были ранее экспортированы (имеющие
атрибут "ph").
-pin-файл имя файла
Прочтите секретный PIN-код из имя файла. Если имя файла "-", ПИН-код читается со стандартного ввода.
-пин-подсказка
Запросить секретный PIN-код. Вход не отображается эхом.
-rnd
Зарезервировано для использования в будущем.
-семена ул
Зарезервировано для использования в будущем.
-serial ул
Серийный номер, ул, является (предположительно) уникальным идентификатором, присвоенным токену.
Эта опция используется с -набор, -Создайтекачества -список флаги. Серийный номер
идентифицирует конкретное устройство OTP, и его не нужно хранить в секрете. Свойство уникальности
принудительно применяется в единице хранения типа элемента; то есть серийные номера всех HOTP
устройства должны быть уникальными, серийные номера всех устройств TOTP должны быть уникальными, и если
учетные записи для двух типов устройств объединены, все серийные номера устройств должны быть
уникальный. Допускается любая печатаемая строка. Если программный клиент генерирует
пароли, вы можете использовать серийный номер устройства или выбрать любой подходящий описательный
строка, еще не назначенная устройству.
Внимание
Юрисдикция, которая разрешает (или может в конечном итоге разрешить) как аппаратные токены, так и
клиентские приложения, создающие программное обеспечение, должны рассмотреть возможность принятия формализованного
схема именования его токенов. Например, администратор может добавить "-hw" к
серийный номер поставщика для формирования Dacstoken серийный номер. Для программного обеспечения
токенов, администратор может создать Dacstoken серийный номер, добавив
"-sw" к серийному номеру производителя устройства.
-totp-дельта Num
Отрегулируйте базовое время на Num интервалы (каждый размер шага в секундах), когда
вычисление TOTP. В Num может быть отрицательным, нулевым или положительным. Это используется для исправления
для недостаточно синхронизированных часов.
-totp-дрифт нвиндовс
Для TOTP используйте размер окна нвиндовс (по размеру интервала) для
Проверка. Если нвиндовс is 0, вычисленное значение TOTP должно соответствовать заданному
точно. Если нвиндовс is 1Например, Dacstoken попытается соответствовать заданному TOTP
значение в предыдущем, текущем и следующем интервалах. Это позволяет часам в
система работает Dacstoken (или local_token_authenticate) и устройство для производства токенов на
хуже синхронизироваться.
Безопасность
Хотя он компенсирует плохо синхронизированные часы, увеличивая значение
нвиндовс ослабляет систему, продлевая срок действия одноразового пароля.
-totp-хэш ALG
Используйте ALG как алгоритм дайджеста с TOTP. Значение ALG ограничено (случай
нечувствительно) SHA1 (по умолчанию), SHA256 или SHA512.
-totp-временной шаг сек
Используйте сек как размер интервала при вычислении TOTP. Он должен быть больше нуля. В
по умолчанию 30 секунд.
Безопасность
Хотя он компенсирует плохо синхронизированные часы, увеличивая значение
сек ослабляет систему, продлевая срок действия одноразового пароля.
-vfs vfs_uri
Используйте vfs_uri преодолеть VFS[33] действует директива конфигурации. Это может быть
используется для настройки или перенастройки auth_token, auth_hotp_token или auth_totp_token на
укажите способ хранения учетных записей, с которыми выполняются действия.
За исключением сообщений об ошибках, которые печатаются до стандартной ошибки, весь вывод отправляется в
стандартный вывод.
Обычно даксопция будет указано для выбора юрисдикции, от имени которой
аккаунты находятся в ведении.
ПРИМЕРЫ
В этих примерах предполагается, что в качестве названия юрисдикции используется ПРИМЕР и ее федерация.
домен - example.com.
Чтобы использовать этот метод аутентификации, DACS администратор может выполнить следующие шаги
для каждого одноразового устройства, назначенного пользователю:
1. Получите поддерживаемый токен, просмотрите, как он используется для аутентификации, и выберите значения.
для различных параметров. Получите секретный ключ для устройства у продавца; за
программируемое устройство, выберите подходящий случайный ключ и запрограммируйте его в устройстве.
Текущие значения счетчика также могут быть получены от поставщика, хотя
скорее всего будет инициализирован нулем; для программируемого устройства установите значение счетчика на
нуль. Решите, потребуется ли PIN-код (см. ТОКЕН_REQUIRES_PIN[9]). Если программное обеспечение
клиент уже используется, установите программное обеспечение на устройство пользователя (или попросите пользователя сделать
итак) и настройте ПО.
2. Решите, где будет храниться информация об аккаунте, и, при необходимости, добавьте подходящий
VFS[33] директива к dacs.conf. По умолчанию (находится в site.conf) учетная запись
информация в файле с именем auth_tokens в пределах частной юрисдикции по умолчанию
площадь:
VFS "[auth_token] dacs-kwv-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_tokens "
3. Сгенерируйте ключи для шифрования информации учетной записи (см. Лексемы и тайна ключи[34]) и
решить, где они будут храниться; например (ваш идентификатор пользователя, идентификатор группы, путь,
название юрисдикции и домен федерации могут отличаться):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj ПРИМЕР -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
При необходимости добавить подходящий VFS[33] директива к dacs.conf; значение по умолчанию, которое
использованный выше, хранит информацию об учетной записи в файле с именем auth_token_keys в
Частная область по умолчанию для каждой юрисдикции:
VFS "[auth_token_keys] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_token_keys "
4. Если вам нужно, чтобы пользователи входили в систему через dacs_authenticate(8)[2], необходимо настроить
подходящее предложение Auth в dacs.conf, например:
URL "токен"
СТИЛЬ «Пропуск»
КОНТРОЛЬ «Достаточно»
5. Есть несколько способов, которыми администратор может продолжить, в зависимости от того, сколько
усилия могут быть предприняты пользователями (например, можно ли им доверять, их технические
способность), сколько пользователей (несколько или тысячи) и уровень безопасности
требуется.
1. подготовьте файл, содержащий XML запись[35] для каждой создаваемой учетной записи; если
ПИН-коды должны использоваться, назначьте случайный ПИН-код для каждой учетной записи;
2. используйте -Импортировать[36] флаг для создания учетных записей;
3. Сообщите пользователю токен-устройство, имя пользователя и (при необходимости) начальный PIN-код.
(возможно, удостоверение личности), обеспечивая любую необходимую демонстрацию и
инструкции;
4. попросите пользователя установить или сбросить PIN-код для учетной записи и попросить пользователя войти в систему.
с помощью токена для подтверждения правильной работы.
Чтобы создать отключенную учетную запись для пользователя bobo для устройства HOTP:
% dacstoken -uj ПРИМЕР -mode hotp -serial 37000752 -key-file bobo.key -create bobo
Секретный ключ для учетной записи (который еще не должен существовать) считывается из файла.
bobo.key. Новые учетные записи по умолчанию отключены; использовать -включить для создания включенной учетной записи.
После создания учетной записи ее можно синхронизировать с токеном. Для синхронизации
токен HOTP для пользователя bobo:
% dacstoken -uj ПРИМЕР -sync 433268,894121,615120 bobo
В этом примере конкретный токен произвел три последовательных пароля 433268,
894121 и 615120. Обратите внимание, что строка последовательности пароля, следующая за -синхронизация флаг
единственный аргумент, который не может иметь вложенных пробелов. Если ключ для этого токена
19c0a3519a89b4a8034c5b9306db, следующий пароль, сгенерированный этим токеном, должен быть 544323
(со значением счетчика 13). Это можно проверить с помощью -горячее шоу:
% dacstoken -hotp-show 5 -счетчик 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000а: 433268
000000000000000б: 894121
000000000000000с:615120
000000000000000д: 544323
000000000000000e: 002442
Чтобы включить учетную запись для пользователя bobo:
% dacstoken -uj ПРИМЕР -enable -set bobo
Чтобы установить ПИН-код и включить учетную запись для пользователя bobo:
% dacstoken -uj ПРИМЕР -enable -pin "CzAy" -set bobo
Чтобы подробно перечислить все учетные записи:
% dacstoken -uj ПРИМЕР -длинный
Ассоциация -список flag является избыточным, потому что это операция по умолчанию. В -Режим, -счетчик, и т.д.
модификаторы не действуют при перечислении.
Чтобы перечислить только учетную запись для bobo:
% dacstoken -uj ПРИМЕР -list bobo
Статус выхода будет отличным от нуля, если у этого пользователя нет учетной записи.
Чтобы отобразить учетную запись устройства с серийным номером 37000752:
% dacstoken -uj ПРИМЕР -serial 37000752
Серийный номер, который должен однозначно идентифицировать токен, часто печатается на токене.
или может отображаться токеном.
Чтобы установить значение счетчика для существующей учетной записи bobo:
% dacstoken -uj ПРИМЕР -counter 9 -set bobo
Эта операция может использоваться для тестирования или с программным токеном. В -синхронизация операция
больше подходит для аппаратного токена.
Чтобы изменить PIN-код для имени пользователя bobo:
% dacstoken -uj ПРИМЕР -pin-prompt -set bobo
Программа запросит новый PIN-код.
Чтобы использовать альтернативный файл учетной записи / secure / auth_tokens:
% dacstoken -uj ПРИМЕР -vfs "dacs-kwv-fs: / secure / auth_tokens" -list
Чтобы использовать новые ключи (делая те же предположения, что и ранее), добавьте подходящую директиву VFS в
dacs.conf; по умолчанию тип элемента auth_token_keys_prev определяется следующим образом:
VFS "[auth_token_keys_prev] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} /auth_token_keys.prev "
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj ПРИМЕР -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj ПРИМЕР -inkeys auth_token_keys.prev -set
ДИАГНОСТИКИ
Программа выходит 0 или 1, если произошла ошибка.
Используйте dacstoken онлайн с помощью сервисов onworks.net
