นี่คือคำสั่ง dacstoken ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
dacstoken - จัดการรหัสผ่านแบบใช้ครั้งเดียวแบบแฮช
เรื่องย่อ
แด็กสโตเก้น [แดชอพชั่น[1]] [-ทั้งหมด] [-ฐาน NUM] [-เคาน์เตอร์ NUM] [-ตัวเลข NUM]
[-ปิดการใช้งาน | -เปิดใช้งาน] [-hotp-หน้าต่าง NUM] [- คีย์ ประเภทรายการ]
[[-สำคัญ คีย์วาล- --key-ไฟล์ ชื่อไฟล์- --key-พรอมต์--โหมด otp โหมด]
[-outkeys ประเภทรายการ]
[[-pin พินวาล- --pin-ไฟล์ ชื่อไฟล์- --pin-พร้อมท์--pin-ข้อจำกัด Str]
[-rnd] [- เมล็ด Str] [-ซีเรียล Str] [-totp-เดลต้า NUM] [-totp-ดริฟท์ หน้าต่าง]
[-topp-แฮช ALG]
[-totp-ไทม์สเต็ป วินาที] [-vfs vfs_uri] [op-spec] [ชื่อผู้ใช้]
DESCRIPTION
โปรแกรมนี้เป็นส่วนหนึ่งของ ดีแคส บน
พื้นที่ แด็กสโตเก้น ผู้บริหารสาธารณูปโภค ดีแคส บัญชีที่เชื่อมโยงกับรหัสผ่านแบบใช้ครั้งเดียว (OTP)
เครื่องกำเนิด (สัญญาณ) หรือไคลเอนต์ที่ใช้ซอฟต์แวร์ การใช้ตัวเลือกบรรทัดคำสั่งก็ยัง
คำนวณค่า OTP พารามิเตอร์บัญชีโทเค็นสามารถแทนที่ได้ แต่บัญชีไม่เท่ากัน
จำเป็นต้องใช้
สามารถให้การรับรองความถูกต้องด้วยสองปัจจัยที่แข็งแกร่งเมื่อ dacs_authenticate[2] ได้รับการกำหนดค่า
ที่จะใช้ local_token_authenticate[3] โมดูลการตรวจสอบความถูกต้องหรือเมื่อ แด็กสโตเก้น ใช้เป็น
โปรแกรมแบบสแตนด์อโลนเพื่อตรวจสอบรหัสผ่าน ทั้งโหมดรหัสผ่านครั้งเดียวที่ใช้ HMAC
(HOTP) ตามตัวนับเหตุการณ์และระบุโดย RFC 4226[4] และตามเวลา
โหมดรหัสผ่านแบบใช้ครั้งเดียว (TOTP) ตามที่ระบุโดย ล่าสุด IETF อินเทอร์เน็ตร่าง[5] ข้อเสนอ
ได้รับการสนับสนุน เพิ่มเติม การดำเนินงาน โหมด[6] เรียกว่า OCRA (คำสาบาน การตอบสนองต่อความท้าทาย
อัลกอริทึม) ที่อธิบายไว้ใน IETF Internet-Draft ยังไม่รองรับอย่างสมบูรณ์
หมายเหตุ
รุ่นนี้ แด็กสโตเก้น รวมการเปลี่ยนแปลงหลายอย่างที่ไม่เข้ากันแบบย้อนกลับ
ด้วยรุ่น 1.4.24a และรุ่นก่อนหน้า แฟล็กบรรทัดคำสั่งบางตัวทำงานแตกต่างกัน และ
รูปแบบของไฟล์บัญชีมีการเปลี่ยนแปลง หากคุณเคยใช้คำสั่งนี้มาก่อน
โปรดทำสำเนาสำรองของไฟล์บัญชีโทเค็นของคุณและทบทวนคู่มือนี้
หน้าอย่างระมัดระวังก่อนดำเนินการต่อ (หมายเหตุ the -แปลง ธง[7] โดยเฉพาะ)
สำคัญ
ไม่จำเป็นต้องมีซอฟต์แวร์ที่ผู้ขายจัดหาให้โดย แด็กสโตเก้น เพื่อจัดหาฟังก์ชันการทำงาน ดิ
อุปกรณ์ที่รองรับในปัจจุบันไม่จำเป็นต้องลงทะเบียนหรือโต้ตอบการกำหนดค่า
กับผู้ขายและ แด็กสโตเก้น ทำ ไม่ โต้ตอบ กับ ผู้ขาย เซิร์ฟเวอร์ or ใช้ ใด
เป็นเจ้าของ ซอฟต์แวร์. อาจจำเป็นต้องใช้ซอฟต์แวร์ที่ผู้ขายจัดหาให้เพื่อดำเนินการ
การเริ่มต้นหรือการกำหนดค่าสำหรับอุปกรณ์โทเค็นอื่น ๆ และ แด็กสโตเก้น ทำ
ไม่ได้ให้การสนับสนุนดังกล่าวแก่พวกเขา
อุปกรณ์โทเค็นแต่ละเครื่องโดยทั่วไปจะสอดคล้องกับบัญชีเดียวที่จัดการโดย
แด็กสโตเก้นแม้ว่าผู้ขายบางรายจะผลิตโทเค็นที่สามารถรองรับหลายบัญชีได้
เพื่อสรุปยูทิลิตี้นี้:
·สร้างและบริหารจัดการ ดีแคส บัญชีที่เกี่ยวข้องกับเคาน์เตอร์ตามและตามเวลา
รหัสผ่านครั้งเดียว
·ให้ฟังก์ชันการตรวจสอบและการทดสอบ
· จัดเตรียมความสามารถในการตรวจสอบสิทธิ์บรรทัดคำสั่ง
Security
เพียง ดีแคส ผู้ดูแลระบบควรจะสามารถเรียกใช้โปรแกรมนี้ได้สำเร็จจาก
บรรทัดคำสั่ง. เพราะ ดีแคส คีย์และไฟล์คอนฟิกูเรชัน รวมถึงไฟล์ที่ใช้ในการ
บัญชีร้านค้าต้องจำกัดเฉพาะผู้ดูแลระบบ ซึ่งปกติจะเป็น
กรณี แต่ผู้ดูแลระบบที่ระมัดระวังจะตั้งค่าการอนุญาตไฟล์เพื่อปฏิเสธการเข้าถึงทั้งหมด
ผู้ใช้รายอื่น
หมายเหตุ
พื้นที่ dacs_token(8)[8] บริการเว็บให้ผู้ใช้บริการตนเองแบบจำกัด
ฟังก์ชันเพื่อตั้งค่าหรือรีเซ็ต PIN ของบัญชีและซิงโครไนซ์โทเค็น นอกจากนี้ยัง
มีโหมดสาธิตเพื่อลดความซับซ้อนในการทดสอบและประเมินผล
PIN ของ (บัญชีผู้ใช้ รหัสผ่าน)
A แด็กสโตเก้น บัญชีสามารถเลือกมี PIN (เช่น รหัสผ่าน) เชื่อมโยงอยู่ ถึง
ตรวจสอบกับบัญชีดังกล่าว ผู้ใช้ต้องระบุรหัสผ่านแบบใช้ครั้งเดียวที่สร้างขึ้น
โดยโทเค็น และ PIN ดิ TOKEN_REQUIRES_PIN[9] คำสั่งการกำหนดค่ากำหนด
ต้องระบุ PIN เมื่อสร้างหรือนำเข้าบัญชีหรือไม่ ใช้ไม่ได้ใน
ร่วมกับ -เดลปิน ธง เนื่องจากมีเพียงผู้ดูแลระบบเท่านั้นที่สามารถทำได้
ฟังก์ชั่นนั้น
แฮชของ PIN จะถูกเก็บไว้ในบันทึกบัญชี แทนที่จะเป็น PIN เหมือน
วิธีที่ .ใช้ dacspasswd(1)[10] และ dacs_passwd(8)[11] ถูกนำไปใช้และขึ้นอยู่กับ
รหัสผ่าน_DIGEST[12] และ PASSWORD_SALT_PREFIX[13] คำสั่งที่มีผลใช้บังคับ ถ้า
รหัสผ่าน_DIGEST[12] มีการกำหนดค่า ใช้อัลกอริทึมนั้น มิฉะนั้น เวลาคอมไพล์
ใช้ค่าเริ่มต้น (SHA1) หากผู้ใช้ลืม PIN จะไม่สามารถกู้คืนรหัสเก่าได้
จะต้องถูกลบหรือต้องตั้งค่าใหม่
อุปกรณ์โทเค็นบางตัวมีความสามารถ PIN ในตัว ผู้ใช้ต้องป้อน PIN ลงใน
อุปกรณ์ก่อนที่อุปกรณ์จะปล่อยรหัสผ่านแบบใช้ครั้งเดียว PIN ของอุปกรณ์นี้คือ
แตกต่างอย่างสิ้นเชิงจาก PIN ของบัญชีที่จัดการโดย แด็กสโตเก้นและคู่มือนี้คือ
เกี่ยวข้องกับ .เท่านั้น แด็กสโตเก้น เข็มหมุด. ควรใช้ PIN ของอุปกรณ์ทุกครั้งที่เป็นไปได้
แด็กสโตเก้น ขอแนะนำให้ใช้ PIN และจำเป็นสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย
(เว้นแต่ว่ามีการใช้ปัจจัยการรับรองความถูกต้องเพิ่มเติมในลักษณะอื่น)
เนื่องจากมีเพียงผู้ดูแลระบบเท่านั้นที่ได้รับอนุญาตให้เรียกใช้คำสั่งนี้ จึงไม่มีข้อ จำกัด
เกี่ยวกับความยาวหรือคุณภาพของ PIN ที่ผู้ดูแลระบบระบุ ข้อความเตือน
จะถูกปล่อยออกมา แต่ถ้ารหัสผ่านถือว่าไม่รัดกุมตามที่ .กำหนด
รหัสผ่าน_CONSTRAINTS[14] คำสั่ง
ครั้งหนึ่ง รหัสผ่าน
อุปกรณ์รหัสผ่านแบบใช้ครั้งเดียวทั้งสองประเภทจะคำนวณค่ารหัสผ่านโดยใช้ระบบความปลอดภัย
อัลกอริทึมแฮชคีย์ (RFC 2104[15] เอฟไอพีเอส 198[16]). ในวิธีการตอบโต้อุปกรณ์
และเซิร์ฟเวอร์แบ่งปันรหัสลับและค่าตัวนับซึ่งถูกแฮชเพื่อให้ได้ตัวเลข
ค่าที่แสดงในฐานหนึ่งที่มีจำนวนหลักที่แน่นอน ประสบความสำเร็จ
การตรวจสอบสิทธิ์ต้องใช้อุปกรณ์และเซิร์ฟเวอร์ในการคำนวณรหัสผ่านที่ตรงกัน ทุกครั้งที่
อุปกรณ์สร้างรหัสผ่าน มันเพิ่มตัวนับ เมื่อเซิร์ฟเวอร์ได้รับการจับคู่
รหัสผ่านจะเพิ่มตัวนับ เพราะเป็นไปได้ที่ทั้งสองเคาน์เตอร์จะกลายเป็น
ไม่ซิงโครไนซ์ อัลกอริทึมการจับคู่ของเซิร์ฟเวอร์โดยทั่วไปจะอนุญาตรหัสผ่านของไคลเอ็นต์
ให้อยู่ใน "หน้าต่าง" ของค่าตัวนับ วิธีการตามเวลาจะคล้ายกัน หลัก
ความแตกต่างคือเวลา Unix ปัจจุบัน (ตามที่ส่งคืนโดย เวลา(3)[17] เช่น) คือ
ใช้เพื่อสร้าง "กรอบเวลา" ที่ทำหน้าที่เป็นค่าตัวนับในการคำนวณ
ของแฮชที่ปลอดภัย เนื่องจากนาฬิกาเรียลไทม์บนอุปกรณ์และเซิร์ฟเวอร์อาจไม่เป็น
ซิงโครไนซ์อย่างเพียงพอ อัลกอริทึมการจับคู่ของเซิร์ฟเวอร์ต้องอนุญาตให้ไคลเอ็นต์'s
รหัสผ่านให้อยู่ในกรอบเวลาที่กำหนดสำหรับอุปกรณ์เหล่านี้
Security
โทเค็นอาจได้รับรหัสลับถาวร (บางครั้งเรียกว่าเมล็ด OTP) โดย
ผู้ผลิตหรือคีย์อาจตั้งโปรแกรมได้ รหัสลับนี้ถูกใช้โดยโทเค็นของ
ขั้นตอนการสร้างรหัสผ่านและเป็นสิ่งสำคัญที่จะต้องเก็บไว้เป็นส่วนตัว ถ้าโทเค็น
ไม่สามารถตั้งโปรแกรมได้ คีย์จะได้รับจากผู้ขาย (สำหรับโทเค็น HOTP โดยทั่วไป
โดยระบุหมายเลขประจำเครื่องของอุปกรณ์และรหัสผ่านสามรหัสติดต่อกัน) บันทึก
ของการแมปแต่ละรายการจากหมายเลขซีเรียลไปยังรหัสลับควรเก็บไว้ในสถานที่ที่ปลอดภัย
หากรหัสลับสามารถตั้งโปรแกรมได้ เนื่องจากมีแนวโน้มว่าจะใช้กับซอฟต์แวร์ไคลเอนต์ได้ จะเป็น
อย่างน้อยต้อง 128 ความยาวบิต ขั้นต่ำของ 160 บิต ขอแนะนำ
คีย์แสดงด้วยสตริงเลขฐานสิบหกแบบยาว 16 อักขระ (หรือมากกว่า) ที่สำคัญควร
ได้มาจากแหล่งคุณภาพการเข้ารหัสของบิตสุ่ม ลูกค้าบางคนอาจจะ
สามารถสร้างคีย์ที่เหมาะสมได้ แต่คุณอาจใช้ แดคเซ็กซ์(1)[แรก]:
% dacsexpr -e "สุ่ม (สตริง 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
ปลาย
โทเค็นสามารถใช้เพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์อื่นนอกเหนือจากการลงชื่อเข้าใช้ด้วยคอมพิวเตอร์ สำหรับ
ตัวอย่าง โดยระบุหมายเลขบัญชี, PIN และค่าโทเค็น ลูกค้าสามารถทำได้อย่างรวดเร็ว
ได้รับการยืนยันทางโทรศัพท์ ลดหรือขจัดความจำเป็นในการมีราคาแพงและ
คำถามเพื่อความปลอดภัยที่ใช้เวลานาน
อุปกรณ์และแอปพลิเคชันรหัสผ่านแบบใช้ครั้งเดียวมีพารามิเตอร์การทำงานดังต่อไปนี้
พารามิเตอร์เหล่านี้จะกำหนดลำดับรหัสผ่านที่สร้างขึ้น การดำเนินงานบางส่วน
พารามิเตอร์อาจได้รับการแก้ไข (ตามมาตรฐานที่เกี่ยวข้องหรือเนื่องจากการนำไปใช้) ในขณะที่
ผู้อื่นอาจกำหนดค่าบางส่วนหรือทั้งหมดโดยผู้ใช้ โปรดดูที่
ข้อมูลอ้างอิงและเอกสารประกอบของผู้ผลิตสำหรับรายละเอียด
ฐาน
ฐานรากที่แสดงรหัสผ่าน
ตอบโต้
สำหรับโหมด HOTP เท่านั้น ค่าตัวนับปัจจุบัน
ตัวเลข
จำนวนหลักในรหัสผ่านที่ใช้ครั้งเดียวแต่ละครั้ง
สำคัญ
รหัสลับ (เมล็ด OTP)
หมายเลข
ตัวระบุหรือชื่อที่ไม่ซ้ำสำหรับอุปกรณ์
ขนาดขั้นตอนเวลา
สำหรับโหมด TOTP เท่านั้น ความกว้างของแต่ละช่วงเวลาเป็นวินาที รหัสผ่านเดียวกัน
จะถูกสร้างขึ้นในช่วงเวลาที่กำหนด นั่นคือนี่คือ "อายุการใช้งาน" หรือความถูกต้อง
ระยะเวลาของรหัสผ่าน TOTP แต่ละรหัส
นอกจากพารามิเตอร์เหล่านี้แล้ว แด็กสโตเก้น ใช้หลายบัญชีต่อหนึ่งบัญชี (เช่น ต่ออุปกรณ์)
พารามิเตอร์:
รับ-หน้าต่าง
เมื่อตรวจสอบรหัสผ่าน HOTP จำนวนรหัสผ่านสูงสุดที่ต้องพิจารณาหลังจาก
รหัสผ่านที่คาดไว้
ลอยไป
สำหรับโหมด TOTP เท่านั้น จำนวนวินาทีที่จะปรับนาฬิกาของเซิร์ฟเวอร์
ไปข้างหน้าหรือข้างหลังเพื่อให้ซิงโครไนซ์กับอุปกรณ์ได้ดียิ่งขึ้น ใช้เพื่อ
ชดเชยโทเค็นหรือซอฟต์แวร์ไคลเอ็นต์ที่นาฬิกาไม่ซิงโครไนซ์กับ
ของเซิร์ฟเวอร์
ดริฟท์หน้าต่าง
สำหรับโหมด TOTP เท่านั้น แต่คล้ายกับหน้าต่างยอมรับ จำนวนสูงสุดของ
ช่วงเวลา (แต่ละขนาดขั้นตอนของเวลา) เพื่อค้นหาไปข้างหน้าและข้างหลังเมื่อตรวจสอบความถูกต้อง
กับรหัสผ่านที่กำหนด
ซิงค์-otps
สำหรับโหมด HOTP เท่านั้น จำนวนรหัสผ่านแบบใช้ครั้งเดียวติดต่อกันที่ต้องใช้ถึง
ซิงโครไนซ์บัญชีกับอุปกรณ์
ชื่อผู้ใช้
ชื่อของ ดีแคส บัญชีที่ผูกไว้กับอุปกรณ์
การตรวจสอบโดยใช้อุปกรณ์รหัสผ่านแบบใช้ครั้งเดียวมีข้อดีดังต่อไปนี้:
· ทุกครั้งที่ผู้ใช้ตรวจสอบสิทธิ์ รหัสผ่านที่แตกต่างกันจะถูกสร้างขึ้น (สูง
ความน่าจะเป็น); ผู้ใช้จึงไม่สามารถจด "รหัสผ่าน" ได้เพราะรหัสผ่านคือ
เปลี่ยนแปลงอยู่เสมอ ผู้ใช้ไม่สามารถลืมรหัสผ่านได้
· เมื่อใช้แล้ว รหัสผ่านโหมด HOTP จะถูก "ใช้" ทันทีและไม่น่าจะใช้
อีกครั้งเป็นเวลานาน ด้วยพารามิเตอร์การกำหนดค่าที่เหมาะสม รหัสผ่านโหมด TOTP
"หมดอายุ" โดยอัตโนมัติภายในช่วงเวลาที่ค่อนข้างสั้นและไม่น่าจะ
ใช้อีกครั้งเป็นเวลานาน
· หากไม่จำเป็นต้องแก้ไขการเลื่อนของนาฬิกา บัญชีโหมด TOTP สามารถเป็นแบบอ่านอย่างเดียวได้
การดำเนินงาน
· เนื่องจากรหัสผ่านไม่น่าจะเป็นตัวเลขหรือสตริงที่เดาได้ง่าย จึงควร
แข็งแกร่งกว่ารหัสผ่านที่ผู้ใช้เลือกส่วนใหญ่
· โทเค็น HOTP สามารถเป็นพื้นฐานของวิธีการตรวจสอบความถูกต้องร่วมกัน ("แบบสองทิศทาง") ที่
เซิร์ฟเวอร์แสดงรหัสผ่านถัดไปของโทเค็นให้ผู้ใช้ยืนยันตัวตน (ด้วยทั้ง
ฝ่ายที่ก้าวหน้าเคาน์เตอร์ของพวกเขา) จากนั้นไคลเอนต์จะแสดงรหัสผ่านต่อไปของเซิร์ฟเวอร์
เพื่อยืนยันตัวตน;
· หากติดตั้งโปรแกรมดมกลิ่นคีย์บนคอมพิวเตอร์ของผู้ใช้ รหัสผ่านที่ดมกลิ่นจะไม่สำเร็จ
ทำการจู่โจมใด ๆ เว้นแต่ a คน-in-the-กลาง โจมตี(19) เป็นไปได้; ที่ให้ไว้ N
รหัสผ่านที่ต่อเนื่องกันก็ยังยากต่อการคำนวณรหัสผ่าน N + 1 ไม่มี
รู้รหัสลับ;
· ผู้ใช้จะแบ่งปันบัญชีได้ยากขึ้น (แม้ว่าบางครั้งผู้ใช้อาจ
ถือว่าไม่สะดวก);
· ถ้า แด็กสโตเก้น PIN ถูกกำหนดให้กับบัญชีและผู้โจมตีได้รับรหัสของบัญชี
โทเค็นยังคงเป็นเรื่องยากสำหรับผู้โจมตีที่จะตรวจสอบความถูกต้องโดยไม่ทราบ PIN
· วิธีปิดการใช้งานบัญชีที่รวดเร็วและมีประสิทธิภาพคือเพียงแค่ยึด a
โทเค็นฮาร์ดแวร์ (เช่น หากพนักงานถูกไล่ออก) แม้ว่าบัญชีจะถูกปิดการใช้งานโดย
โปรแกรมนี้หรือใช้ การเพิกถอน รายการ[20];
· ในกรณีของซอฟต์แวร์ไคลเอนต์ที่ทำงานบนอุปกรณ์พกพา เช่น โทรศัพท์หรือ PDA
ผู้ใช้กำลังพกพาอุปกรณ์ติดตัวไปด้วย มีลูกค้าฟรีดังนั้นจึงมี
อาจไม่มีค่าใช้จ่ายเพิ่มเติม (โปรดทราบว่าอุปกรณ์มือถืออาจไม่มีให้บริการเหมือนกัน
ความต้านทานการงัดแงะ ความทนทาน ความลับของคีย์ ความแม่นยำของนาฬิกา ฯลฯ ของโทเค็นฮาร์ดแวร์)
อุปกรณ์รหัสผ่านแบบใช้ครั้งเดียวมีข้อเสียที่อาจเกิดขึ้นดังต่อไปนี้:
· มีค่าใช้จ่ายเพียงครั้งเดียวสำหรับโทเค็นฮาร์ดแวร์ (ขึ้นอยู่กับปริมาณการซื้อ
คุณสามารถคาดหวังที่จะจ่าย $10-$100 USD ต่อคน) และมีความเป็นไปได้ที่คุณจะต้อง
เปลี่ยนโทเค็นที่สูญหายหรือเสียหาย หรือแบตเตอรี่ของโทเค็น (บางหน่วยมี a
แบตเตอรี่ที่ไม่สามารถเปลี่ยนได้ทำให้ใช้แล้วทิ้งหลังจากไม่กี่ปี)
· การกำหนดค่าเริ่มต้นค่อนข้างยากกว่าการรับรองความถูกต้องอื่นๆ
วิธีการและผู้ใช้ที่ไม่คุ้นเคยกับอุปกรณ์จะต้องได้รับคำแนะนำใน
ใช้;
· แม้ว่าโดยทั่วไปจะค่อนข้างเล็ก (เช่น 5 ซม. x 2 ซม. x 1 ซม.) และสามารถติดกับ
พวงกุญแจหรือเชือกคล้อง หรือเก็บไว้ในกระเป๋าสตางค์ ผู้ใช้อาจสะดุ้งเมื่อต้องพกโทเค็น
อยู่กับพวกเขา;
· ผู้ใช้สามารถลืมที่จะมีโทเค็นของพวกเขากับพวกเขาหรือทำโทเค็นหาย;
· อุปกรณ์พกพา (พร้อมไคลเอนต์ซอฟต์แวร์) น่าจะเป็นเป้าหมายของการโจรกรรม มากกว่านั้น
มากกว่าโทเค็นของฮาร์ดแวร์ (ดังนั้น PIN สำหรับอุปกรณ์นี้จึงมีความสำคัญเป็นพิเศษ)
· ไม่เหมือนกับโทเค็นฮาร์ดแวร์ที่คีย์ถูกเผาจนเข้าถึงไม่ได้ ป้องกันการงัดแงะ
หน่วยความจำ คีย์ที่กำหนดค่าไว้ในไคลเอนต์ซอฟต์แวร์มีแนวโน้มที่จะอ่านได้โดย
เจ้าของทำให้การแบ่งปันบัญชีเป็นไปได้
·การป้อนค่าเมล็ดพันธุ์ 40 ตัวหรือนานกว่านั้นลงในอุปกรณ์มือถืออาจทำให้หงุดหงิดได้
และมีแนวโน้มที่จะผิดพลาด
· เมื่ออุปกรณ์ TOTP สร้างรหัสผ่านแล้ว รหัสผ่านใหม่จะไม่สามารถสร้างได้จนกว่า
กรอบเวลาขั้นตอนถัดไป โดยกำหนดให้ผู้ใช้รอ 30 (หรืออาจ 60) วินาที (เช่น
หากทำรายการผิดพลาด);
· อุปกรณ์บางอย่างอ่านยากในสภาพแสงน้อย ผู้ใช้อายุก่อนกำหนดและบุคคลเหล่านั้น
ผู้ที่มีความบกพร่องทางการมองเห็นอาจมีปัญหาในการอ่านหน้าจอ
บัญชี
บัญชีที่จัดการโดย แด็กสโตเก้น แยกจากบัญชีที่ใช้โดย .โดยสิ้นเชิง
local_passwd_authenticate[21] หรืออื่นๆ ดีแคส โมดูลการตรวจสอบความถูกต้อง
บัญชีสำหรับอุปกรณ์ HOTP และ TOTP อาจรวมกันหรือแยกไว้ต่างหาก ถ้าเสมือน
filestore รายการประเภท auth_hotp_token ถูกกำหนดไว้ ใช้สำหรับบัญชีที่เกี่ยวข้องเท่านั้น
ด้วยโทเค็น HOTP ในทำนองเดียวกัน หากประเภทรายการที่เก็บไฟล์เสมือน auth_totp_token เป็น
กำหนดไว้ ใช้สำหรับบัญชีที่เชื่อมโยงกับโทเค็น TOTP เท่านั้น หากรายการใดประเภทหนึ่งคือ
ไม่ได้กำหนด เข้าถึงบัญชีผ่าน DACS's ที่เก็บไฟล์เสมือนโดยใช้ประเภทรายการ
auth_token สันนิษฐานว่าสิทธิ์ของไฟล์ในฐานข้อมูลบัญชีนั้นทั้งหมด
การเข้าถึงถูก จำกัด ให้ผู้ดูแลระบบและ local_token_authenticate.
หากบัญชีสำหรับอุปกรณ์ทั้งสองประเภทคือ รวมเพราะแต่ละชื่อผู้ใช้สำหรับ an
วิธีการรับรองความถูกต้องต้องไม่ซ้ำกัน หากบุคคลมีโทเค็นทั้งสองประเภท พวกเขาจะต้อง
ถูกกำหนดชื่อผู้ใช้ที่แตกต่างกัน ตัวอย่างเช่น ถ้า Auggie มีโทเค็น HOTP หนึ่งอันและหนึ่ง
โทเค็น TOTP อดีตอาจตรงกับชื่อผู้ใช้ auggie-hotp และหลัง to
augie-totp; แบบฟอร์มลงชื่อเข้าใช้อาจมีอินพุตโหมดอุปกรณ์ซึ่งจะช่วยให้ Auggie
เพียงพิมพ์ "augie" ในช่องชื่อผู้ใช้และ JavaScript เพื่อต่อท้าย .โดยอัตโนมัติ
คำต่อท้ายที่เหมาะสมตามโหมดอุปกรณ์ที่เลือก ข้อเสียที่ชัดเจนของสิ่งนี้
การกำหนดค่าคือมันส่งผลให้สองแตกต่างกัน ดีแคส ข้อมูลประจำตัวสำหรับบุคคลคนเดียวกัน
สิ่งนี้จะต้องจำไว้หากจำเป็นต้องระบุกฎการควบคุมการเข้าถึงเพื่อระบุ Auggie
อย่างชัดเจน หากทั้งสองโทเค็นควรจับคู่กัน ดีแคส ตัวตนส่วนคำสั่ง Auth สามารถ
ถอดส่วนต่อท้ายออกหลังจากตรวจสอบสิทธิ์สำเร็จ แต่ผู้ดูแลระบบจะทำ
ต้องระวังกรณีของ Auggies ที่แตกต่างกันสองตัว ซึ่งแต่ละตัวใช้อุปกรณ์ประเภทต่างกัน
การกำหนดค่าทั้งประเภทรายการ auth_hotp_token และ auth_totp_token (หรือเพียงหนึ่งในนั้น
และ auth_token) แยกบัญชีและอนุญาตให้ใช้ชื่อผู้ใช้เดียวกันสำหรับ
อุปกรณ์ทั้งสองประเภท ออกกี้จึงสามารถมีบันทึกบัญชีกับสิ่งเดียวกันได้
ชื่อผู้ใช้สำหรับอุปกรณ์ทั้งสองประเภท วิธีการนี้ต้องระบุโหมดอุปกรณ์
เมื่อมีการร้องขอการดำเนินการเพื่อให้สามารถใช้ประเภทรายการที่ถูกต้องได้ นี่หมายความว่า
ผู้ใช้ต้องรู้ว่ากำลังใช้อุปกรณ์ประเภทใด (อาจโดยติดฉลากไว้)
อ้างถึงรายละเอียดที่สำคัญเกี่ยวกับ ดีแคส เอกลักษณ์[22].
พื้นที่ -vfs ใช้เพื่อกำหนดค่าหรือกำหนดค่าประเภทรายการ auth_token ใหม่
เฉพาะคีย์ที่ตรงตามข้อกำหนดความยาวคีย์ขั้นต่ำ (16 ไบต์) อาจถูกเก็บไว้ด้วย
ข้อมูลบัญชี (เช่น with -SET or -นำเข้า). ในบริบทอื่นข้อกำหนดคือ
ไม่ได้บังคับใช้
รหัสลับถูกเข้ารหัสโดย แด็กสโตเก้น เมื่อมันถูกเขียนลงในไฟล์บัญชี ดิ
ประเภทรายการที่เก็บไฟล์เสมือน auth_token_keys ระบุคีย์การเข้ารหัสสำหรับ แด็กสโตเก้น
ใช้; ที่ - คีย์ และ -outkeys ธงระบุทางเลือกอื่น (ดู แด็คสกี้(1)[23]). ถ้า
คีย์เข้ารหัสหายไป คีย์ลับไม่สามารถกู้คืนได้จริง
สำคัญ
หากผู้โจมตีพบรหัสลับ สร้างรหัสผ่านที่ใช้งานได้โดยไม่ต้องครอบครอง
โทเค็นจะไม่ยาก อย่างน้อยโทเค็นฮาร์ดแวร์บางตัว คีย์จะถูกเผา
ลงในตัวเครื่องและไม่สามารถเปลี่ยนแปลงได้ ในกรณีนี้หากกุญแจรั่วอุปกรณ์
ควรถูกทำลาย หากโทเค็นสูญหาย ควรปิดการใช้งานบัญชีที่เกี่ยวข้อง
ในกรณีที่ผู้โจมตีพบโทเค็นที่สูญหายหรือพบรหัสลับที่มีความเข้มแข็ง
PIN ที่เชื่อมโยงกับบัญชีจะทำให้ผู้โจมตีได้รับได้ยาก
ทางเข้า
สำคัญ
· วิธีการตรวจสอบสิทธิ์นี้ได้รับการทดสอบกับผลิตภัณฑ์ OTP ต่อไปนี้:
· การรับรองความถูกต้อง กุญแจ 3600[24] โทเค็นฮาร์ดแวร์รหัสผ่านครั้งเดียว (HOTP)
· เฟยเทียน เทคโนโลยี[25] ฮาร์ดแวร์รหัสผ่านครั้งเดียว OTP C100 และ OTP C200
โทเค็น จัดทำโดย ไฮเปอร์เซคู ข้อมูล ระบบ[26]; และ
· คำสาบาน เหรียญ[27] ซอฟต์แวร์แอปพลิเคชันโดย Archie Cobbs ซึ่งใช้งานทั้งสองอย่าง
HOTP และ TOTP บน iPod สัมผัส iPhone, และ iPad[28]
· เทคโนโลยี Feitian ไอโอเอธ Lite[29] แอพพลิเคชั่นซอฟต์แวร์ HOTP สำหรับ iPod
Touch, iPhone และ iPad
ผู้ผลิตรายอื่นที่สนใจจะให้ผลิตภัณฑ์ของตนสนับสนุนโดย ดีแคส เป็น
ยินดีต้อนรับที่จะติดต่อดีเอส.
· ภาพถ่าย[30]: Feitian OTP C200, iPod Touch พร้อมแอพ OATH Token, Authenex A-Key
3600 (ตามเข็มนาฬิกาจากซ้ายบน)
· แม้ว่าการใช้งานนี้ควรทำงานร่วมกับผลิตภัณฑ์ที่สอดคล้องและคล้ายคลึงกันเท่านั้น
ผลิตภัณฑ์เหล่านี้ได้รับการสนับสนุนอย่างเป็นทางการโดย ดีแคส.
· ฮาร์ดแวร์โทเค็นสามารถซื้อได้โดยตรงจากผู้ขาย
· ปัญหาใด ๆ กับการใช้โทเค็นเพื่อรับรองความถูกต้องผ่าน ดีแคส ไม่ใช่
ความรับผิดชอบของผู้จำหน่ายโทเค็น
การนำเข้า และ การส่งออก OTP บัญชี
คำอธิบายของบัญชีและโทเค็นสามารถโหลดหรือทิ้งได้ (ดูที่ -นำเข้า
และ -ส่งออก ธง) ซึ่งช่วยลดความยุ่งยากในการจัดเตรียม สำรองข้อมูล และพกพาจำนวนมาก ดิ
ข้อมูลบัญชีเขียนในรูปแบบ XML ที่เรียบง่ายเฉพาะแอปพลิเคชัน (เกือบ)
รูปแบบที่เข้าใจโดย แด็กสโตเก้น ประกอบด้วยองค์ประกอบราก ("otp_tokens") ตามด้วย
องค์ประกอบ "otp_token" เป็นศูนย์หรือมากกว่า หนึ่งรายการต่อบรรทัด โดยแต่ละรายการมีรายการที่จำเป็นและเป็นทางเลือก
คุณสมบัติ (อธิบายด้านล่าง) ต้องละเว้นการประกาศ XML ช่องว่างชั้นนำและ
บรรทัดว่างจะถูกละเว้น เช่นเดียวกับความคิดเห็น XML บรรทัดเดียว นอกจากนี้ บรรทัดที่มี "#"
เนื่องจากอักขระที่ไม่ใช่ช่องว่างตัวแรกจะถูกละเว้น คุณลักษณะเสริมที่ไม่ใช่
ปัจจุบันได้รับการกำหนดค่าเริ่มต้น อัลกอริทึมไดเจสต์เริ่มต้นคือ SHA1 แอตทริบิวต์สั้น
ชื่อถูกใช้เพื่อประหยัดพื้นที่ คุณลักษณะที่ไม่รู้จักและคุณลักษณะที่ไม่เกี่ยวข้องกับ
โหมดอุปกรณ์จะถูกละเว้น อักขระอัญประกาศเดี่ยวหรือคู่ (หรือทั้งสองอย่าง) ภายในแอตทริบิวต์ XML
ค่าจะต้องถูกแทนที่ด้วยการอ้างอิงเอนทิตีที่เกี่ยวข้อง ("'" และ """
ตามลำดับ) ตามที่ต้องมีอักขระ "<" (น้อยกว่า) และ "&" (เครื่องหมายและ) A ">" (มากกว่า
กว่า) อักขระทางเลือกอาจถูกแทนที่ด้วยลำดับ ">" แต่ไม่มีเอนทิตีอื่น
การอ้างอิงได้รับการยอมรับ
คุณลักษณะที่รู้จักคือ:
· ข:
ฐาน
-- ฐานสำหรับค่า OTP
[ไม่จำเป็น:
10 (Default)
16,หรือ 32]
· ค:
ตอบโต้
-- ค่าตัวนับปัจจุบันสำหรับ HOTP ในหน่วยฐานสิบหก ถ้าอยู่ข้างหน้า
โดย "0x" (หรือ "0X") ทศนิยมเป็นอย่างอื่น
[ไม่จำเป็น:
ค่าเริ่มต้นคือ 0]
· ง:
OTP เครื่อง โหมด
-- "c" (สำหรับ HOTP)
หรือ "t" (สำหรับ TOTP)
[ต้อง]
· ดีเอ็นเอ:
ย่อยชื่อ
-- หนึ่งใน Secure Hash Algorithms
[ไม่จำเป็น:
SHA1 (ค่าเริ่มต้น),
SHA224, SHA256,
SHA384, SHA512]
· ดร.:
นาฬิกาลอย
-- การปรับนาฬิกา หน่วยเป็นวินาที สำหรับ TOTP
[ไม่จำเป็น]
· เอก:
เข้ารหัสคีย์
-- เข้ารหัสลับคีย์ ฐาน-64 เข้ารหัส
[ที่จำเป็น:
บันทึกบัญชี OTP เท่านั้น]
· th:
เปิดใช้งานสถานะ
-- 1 สำหรับเปิดใช้งาน
0 สำหรับคนพิการ
[ต้อง]
· เค:
คีย์ข้อความธรรมดา
-- รหัสลับที่ไม่ได้เข้ารหัส
[ต้อง]
· ลู:
การปรับปรุงครั้งล่าสุด
-- เวลา Unix ของการอัปเดตบันทึกล่าสุด
[ไม่บังคับ: ค่าเริ่มต้นคือเวลาปัจจุบัน]
· ลำดับที่:
ตัวเลข
-- จำนวนหลักสำหรับค่า OTP
[ไม่จำเป็น:
ค่าเริ่มต้นคือ 6 สำหรับ HOTP
8 เพื่อทีโอทีพี]
· พี:
ข้อความธรรมดา-PIN
-- ค่า PIN ข้อความธรรมดาสำหรับบัญชี
[ที่จำเป็น:
เว้นแต่มีค่า ph
สำหรับการนำเข้าเท่านั้น]
· พีเอช:
แฮช-PIN
-- ค่า PIN ที่แฮชสำหรับบัญชี
[ไม่จำเป็น:
ที่สร้างขึ้นโดย แด็กสโตเก้น
สำหรับไฟล์บัญชีส่งออกและ OTP เท่านั้น]
· ส:
ซีเรียลนัมเบอร์
-- สตริงตัวระบุที่ไม่ซ้ำสำหรับอุปกรณ์
[ต้อง]
· ท:
ขั้นตอนเวลา
-- ค่าขั้นตอนเวลา หน่วยเป็นวินาที สำหรับ TOTP
[ไม่จำเป็น:
ค่าเริ่มต้นคือ 30]
· ยู:
ชื่อผู้ใช้
-- ที่ถูกต้อง ดีแคส ชื่อผู้ใช้ที่เชื่อมโยงกับบัญชีนี้
[ต้อง]
ตัวอย่างต่อไปนี้อธิบายสองบัญชีที่อาจสร้างขึ้นโดยใช้ -นำเข้า ธง:
Security
เนื่องจากเร็กคอร์ดที่นำเข้ามีคีย์ลับที่ไม่ได้เข้ารหัสสำหรับอุปกรณ์ OTP ดังนั้น
ไฟล์ที่ส่งออกควรถูกเข้ารหัสไว้ (เช่น การใช้ OpenSSL) หรืออย่างน้อยก็มี
สิทธิ์ของไฟล์ที่เหมาะสม
หมายเหตุ
กำลังพัฒนารูปแบบมาตรฐานสำหรับการจัดเตรียมอุปกรณ์ OTP รูปแบบนี้อาจจะเป็น
เข้าใจโดยรุ่นอนาคตของ แด็กสโตเก้นหรือยูทิลิตี้การแปลงอาจถูกเขียนขึ้น
รูปแบบมาตรฐานมีแนวโน้มที่จะซับซ้อนกว่ารูปแบบ . มาก ดีแคส จัดรูปแบบ
OPTIONS
นอกจากมาตรฐานแล้ว แดชอพชั่น[1] รายการแฟล็กบรรทัดคำสั่งแบบยาวคือ
ได้รับการยอมรับ เมื่อ ชื่อผู้ใช้ จะได้รับ ค่าเริ่มต้นที่เกี่ยวข้องกับบัญชีนั้นคือ
ใช้ มิฉะนั้นจะใช้ค่าเริ่มต้นที่แนะนำหรือเฉพาะการนำไปใช้ ค่าเริ่มต้นเหล่านี้
ค่ามักจะถูกแทนที่บนบรรทัดคำสั่ง อนุญาตให้ใช้แฟล็กบางรายการกับ a . เท่านั้น
โหมดโทเค็นเฉพาะ (เช่น -เคาน์เตอร์, -topp-show) และลักษณะที่ปรากฏบ่งบอกถึงโหมดนั้น
ทำให้ -โหมด ธงไม่จำเป็น; แฟล็กอื่นๆ เป็นแบบอิสระ (เช่น -ลบ,
-เปิดใช้งาน). เป็นข้อผิดพลาดในการใช้ชุดค่าผสมที่เข้ากันไม่ได้ ธงที่เป็น
ไม่มีความหมายกับการดำเนินการที่เลือกไว้แม้ว่าจะยังหมายถึงโหมดก็ตาม
ค่าเลขฐานสิบหกไม่คำนึงถึงขนาดตัวพิมพ์ ถ้าต้องการค่าตัวนับแต่ไม่ได้ระบุ
(เช่น เมื่อสร้างบัญชี) จะใช้ค่าตัวนับเริ่มต้นที่ศูนย์
พื้นที่ op-spec ระบุการดำเนินการที่จะดำเนินการร่วมกับศูนย์หรือมากกว่า เปลี่ยนแปลง
ธง ถ้า op-spec หายไป -รายการ มีการดำเนินการ หนึ่ง op-spec เป็นหนึ่งใน
ต่อไปนี้:
-รับรองความถูกต้อง ค่า otp
ธงนี้เหมือน -ตรวจสอบความถูกต้อง[31] ยกเว้น:
·ก ชื่อผู้ใช้ จำเป็น ซึ่งได้รับพารามิเตอร์ทั้งหมด (เช่น คีย์)
· หากบัญชีมี PIN จะต้องระบุ
· หากบัญชีเป็นโทเค็น HOTP ตัวนับจะได้รับการอัปเดตหากตรวจสอบสิทธิ์
ประสบความสำเร็จ
สถานะการออกเป็นศูนย์บ่งชี้ว่าการรับรองความถูกต้องสำเร็จ ในขณะที่ค่าอื่นๆ
หมายถึงการรับรองความถูกต้องล้มเหลว
-แปลง ชื่อไฟล์
โหลดไฟล์บัญชีโทเค็นรูปแบบเก่า (ก่อนปล่อย 1.4.25) จาก ชื่อไฟล์ ("-"
หมายถึงอ่านจาก stdin) แปลงเป็นรูปแบบที่ใหม่กว่าและเขียนเป็น stdout (as
by -ส่งออก). แฟล็กนี้เลิกใช้แล้วและความสามารถนี้จะถูกลบออกในอนาคต
ปล่อย ดีแคส.
-สร้าง
สร้างบัญชีสำหรับ ชื่อผู้ใช้ซึ่งจะต้องไม่มีอยู่แล้ว ในด้านอื่น ๆ นั้น
ทำงานเหมือน -SET(32) เมื่อสร้างบัญชีใหม่ -ซีเรียล เป็นสิ่งจำเป็นและ -สำคัญ is
โดยนัย ถ้าไม่ -เปิดใช้งาน ตั้งค่าสถานะเมื่อสร้างบัญชี -ปิดการใช้งาน เป็นนัย
ถ้าไม่ -เคาน์เตอร์ มีการจัดเตรียมแฟล็ก ใช้ค่าเริ่มต้นเป็นศูนย์ หากหนึ่งในแฟล็ก PIN คือ
ปัจจุบัน PIN ที่กำหนดจะถูกกำหนดให้กับบัญชีมิฉะนั้นบัญชีจะไม่
มี PIN (หรือ PIN ที่มีอยู่จะไม่ถูกเปลี่ยน)
-หมุนเวียน
แสดงตัวประกอบการเคลื่อนที่ในปัจจุบัน (เช่น ค่าตัวนับสำหรับ HOTP หรือช่วงเวลา
มูลค่า TOTP) และ OTP ที่คาดไว้สำหรับ ชื่อผู้ใช้. สำหรับ HOTP เคาน์เตอร์เป็นขั้นสูง ทั้งหมด
พารามิเตอร์ถูกนำมาจากบัญชี
-ลบ
ลบบัญชีสำหรับ ชื่อผู้ใช้. รหัสลับของอุปกรณ์และการทำงานอื่นๆ
พารามิเตอร์จะหายไป
-เดลปิน
ลบ PIN หากมี ในบัญชีของ ชื่อผู้ใช้ออกจากบัญชีโดยไม่มี a
PIN
-ส่งออก
เขียนข้อมูลเกี่ยวกับบัญชีทั้งหมดหรือเพียงหนึ่งบัญชี if ชื่อผู้ใช้ มอบให้กับ
มาตรฐาน อย่างไรก็ตาม หากเลือกโหมดใดโหมดหนึ่ง บัญชีที่มีโหมดนั้นเท่านั้นที่จะเป็น
เขียนไว้. ข้อมูลนี้อาจโหลดซ้ำได้โดยใช้ -นำเข้า or -นำเข้า-เปลี่ยน. ผลลัพธ์
ควรเก็บไว้ในรูปแบบที่เข้ารหัสหรืออย่างน้อยที่สุดก็มีสิทธิ์ไฟล์
กำหนดไว้อย่างเหมาะสม ตัวอย่างเช่น:
% dacstoken -uj EXAMPLE -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
หลังจากนั้น คุณอาจทำสิ่งต่อไปนี้:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj ตัวอย่าง -นำเข้า -
-h
-ช่วยด้วย
แสดงข้อความช่วยเหลือและออก
-hotp-แสดง NUM
แสดง NUM รหัสผ่าน HOTP ต่อเนื่องกันจากค่าตัวนับและคีย์ที่กำหนด ดิ
-เคาน์เตอร์ สามารถใช้แฟล็กเพื่อระบุค่าตัวนับเริ่มต้นได้ ที่สำคัญสามารถ
ระบุโดยใช้ -สำคัญ, -key-ไฟล์,หรือ -key-พรอมต์. ถ้า ชื่อผู้ใช้ จัดให้
ค่าตัวนับเริ่มต้นและรหัสจะได้รับจากบัญชี HOTP ของผู้ใช้ เว้นแต่
ค่าถูกแทนที่บนบรรทัดคำสั่ง มูลค่าตัวนับที่เก็บไว้ของบัญชีไม่ใช่
แก้ไข นี้มีวัตถุประสงค์หลักเพื่อวัตถุประสงค์ในการดีบัก
-นำเข้า ชื่อไฟล์
-นำเข้า-เปลี่ยน ชื่อไฟล์
โหลดข้อมูลบัญชีและโทเค็นจาก ชื่อไฟล์; ถ้า ชื่อไฟล์ คือ "-" อ่าน stdin แล้ว
หากเลือกโหมด ระบบจะอ่านเฉพาะบัญชีที่มีโหมดนั้น กับ -นำเข้า มันคือ
ข้อผิดพลาดหากมีบัญชีที่นำเข้าแล้ว และการประมวลผลหยุดลง -นำเข้า-เปลี่ยน
จะแทนที่บัญชีที่มีอยู่ด้วยข้อมูลที่นำเข้า
-l
-รายการ
-ยาว
If ชื่อผู้ใช้ มีให้แสดงข้อมูลเกี่ยวกับบัญชีที่เกี่ยวข้อง ถ้า
-ซีเรียล ให้แฟล็กแสดงข้อมูลเกี่ยวกับบัญชีที่มีซีเรียลที่ระบุ
ตัวเลข; มิฉะนั้น แสดงรายการบัญชีทั้งหมด ถ้า -โหมด ธงจะได้รับในกรณีเหล่านี้
อย่างไรก็ตาม ให้ระบุเฉพาะบัญชีที่มีโหมดการทำงานระบุไว้เท่านั้น ถ้านี้
ธงซ้ำหรือกับ -ยาว แฟล็ก แสดงรายละเอียดเพิ่มเติม: ประเภทอุปกรณ์
สถานะบัญชี, หมายเลขซีเรียลของอุปกรณ์, ค่าตัวนับ (สำหรับ HOTP), ค่านาฬิกาลอย (สำหรับ
TOTP) ไม่ว่าบัญชีจะมี PIN หรือไม่ (ระบุด้วยสัญลักษณ์ "+" หรือ "-") และ
เวลาและวันที่ของการแก้ไขล่าสุดของบัญชี
-เปลี่ยนชื่อ ใหม่ชื่อผู้ใช้
เปลี่ยนชื่อบัญชีที่มีอยู่สำหรับ ชื่อผู้ใช้ ที่จะ ใหม่ชื่อผู้ใช้และปรับเปลี่ยนใหม่
บัญชีโดยใช้อาร์กิวเมนต์บรรทัดคำสั่ง (เช่นเดียวกับ -SET(32)) เนื่องจากต้องใช้สองขั้นตอน
ที่ไม่ได้ทำเป็นปรมาณู หากเกิดข้อผิดพลาดขึ้น บัญชีใหม่จะ
ถูกสร้างขึ้นและบัญชีเก่ายังคงมีอยู่
-SET
พื้นที่ -SET ธงใช้เพื่อแก้ไขบัญชีที่มีอยู่สำหรับ ชื่อผู้ใช้ ขึ้นอยู่กับหนึ่งหรือมากกว่า
อาร์กิวเมนต์ตัวแก้ไข (-ฐาน, -เคาน์เตอร์, -ตัวเลข, -ปิดการใช้งาน or -เปิดใช้งาน, -สำคัญ (หรือ -key-ไฟล์
or -key-พรอมต์), -pin (หรือ -pin-ไฟล์ or -pin-พร้อมท์), หรือ -ซีเรียล). โหมดยังสามารถ
เปลี่ยนโดยระบุ -โหมดแต่พารามิเตอร์เฉพาะโหมดที่เกี่ยวข้องกับบัญชี
จะหายไป (เช่น ค่าตัวนับปัจจุบันจะถูกลบออกหากบัญชี HOTP เป็น
เปลี่ยนเป็นบัญชี TOTP) และพารามิเตอร์ทั่วไป (เช่น หมายเลขซีเรียล) จะเป็น
เก็บไว้เว้นแต่จะถูกแทนที่บนบรรทัดคำสั่ง
-ซิงค์ รายการรหัสผ่าน
ในโหมด HOTP การดำเนินการนี้จะพยายามซิงโครไนซ์เซิร์ฟเวอร์กับโทเค็นสำหรับ ชื่อผู้ใช้.
รายการรหัสผ่าน เป็นรายการที่คั่นด้วยเครื่องหมายจุลภาคของรหัสผ่านต่อเนื่องกันสามชุดที่สร้างโดย
โทเค็นของผู้ใช้ (ฟังก์ชัน "ซิงโครไนซ์อัตโนมัติ" นี้ยังใช้ได้ผ่าน
local_token_authenticate[3]). ลำดับที่กำหนดต้องตรงกับลำดับที่คำนวณ
เผง, กำหนดพารามิเตอร์การดำเนินงานที่มีผล; เช่น เลขศูนย์นำหน้าคือ
สำคัญ เช่นเดียวกับฐานแสดงผลและจำนวนหลัก OTP ที่มีผลใช้บังคับ ถ้า
การซิงโครไนซ์สำเร็จ ผู้ใช้ควรตรวจสอบสิทธิ์ได้โดยใช้คำสั่ง next
รหัสผ่านที่ผลิตโดยอุปกรณ์ อัลกอริธึมการค้นหาที่ละเอียดถี่ถ้วนโดยใช้การเพิ่มขึ้น
มีการใช้ค่าตัวนับ โดยมีการจำกัดเวลาคอมไพล์กับจำนวนสูงสุด
การคำนวณ การค้นหาเริ่มต้นที่ค่าตัวนับที่เก็บไว้ในปัจจุบันของเซิร์ฟเวอร์ เว้นแต่
หนึ่งมีให้โดยใช้ -เคาน์เตอร์. หากไม่สำเร็จ การดำเนินการนี้อาจใช้เวลานาน
ก่อนที่มันจะสิ้นสุดลง ผู้ใช้ต้องติดต่อผู้ดูแลระบบเพื่อขอความช่วยเหลือ
ในโหมด TOTP พยายามกำหนดว่านาฬิการะบบซิงโครไนซ์กับนาฬิการะบบอย่างใกล้ชิดเพียงใด
นาฬิกาของโทเค็นและแสดงผล ข้อมูลนี้สามารถใช้เพื่ออัปเดต
บันทึกโทเค็นของผู้ใช้เพื่อชดเชยนาฬิกาที่ซิงโครไนซ์ไม่ดีหรือเพื่อปรับ
พารามิเตอร์การตรวจสอบ คีย์ของโทเค็นและชื่อของอัลกอริทึมไดเจสต์คือ
ได้รับสำหรับบันทึกโทเค็นที่เป็นของ ชื่อผู้ใช้, หากได้รับ; มิฉะนั้นคีย์
ได้รับแจ้งและอัลกอริทึมไดเจสต์ที่จะใช้นั้นได้มาจากคำสั่ง
บรรทัดหรือค่าเริ่มต้น เฉพาะรหัสผ่านแรกใน รายการรหัสผ่าน ถูกนำมาใช้.
-totp-ไทม์สเต็ป, -ตัวเลขและ -topp-เบส ตัวเลือกมีผลระหว่างการดำเนินการนี้
-ทดสอบ
ทำแบบทดสอบตัวเองแล้วออก สถานะการออกที่ไม่ใช่ศูนย์หมายถึงเกิดข้อผิดพลาด
-topp-show NUM
แสดงลำดับของรหัสผ่าน TOTP โดยใช้พารามิเตอร์ที่มีผลในปัจจุบัน:
ขนาดช่วง (-totp-ไทม์สเต็ป) จำนวนหลัก (-ตัวเลข) และฐาน (-ฐาน)
พารามิเตอร์ที่เก็บไว้ของบัญชีจะไม่ถูกแก้ไข นี้มีวัตถุประสงค์หลักสำหรับการดีบัก
วัตถุประสงค์
ถ้า ชื่อผู้ใช้ มีให้ (ต้องเชื่อมโยงกับอุปกรณ์ TOTP) คีย์และ
พารามิเตอร์ที่เก็บไว้อื่น ๆ จากบัญชีจะถูกใช้เว้นแต่จะถูกแทนที่ด้วยบรรทัดคำสั่ง
ธง ลำดับของรหัสผ่านสำหรับ NUM ช่วงเวลาก่อนและหลังเวลาปัจจุบัน
พร้อมพิมพ์รหัสผ่านสำหรับเวลาปัจจุบัน
ถ้าไม่ ชื่อผู้ใช้ ได้รับโปรแกรมพร้อมท์สำหรับคีย์ (ซึ่งสะท้อน) และใช้
แฟล็กบรรทัดคำสั่งหรือค่าดีฟอลต์สำหรับพารามิเตอร์ จากนั้นจะปล่อยรหัสผ่าน TOTP
สำหรับเวลาปัจจุบันทุกครั้งที่กด Return/Enter การพิมพ์ EOF ทำให้เกิดทันที
การยุติ
-ตรวจสอบความถูกต้อง ค่า otp
If ค่า otp เป็นรหัสผ่านแบบใช้ครั้งเดียวถัดไปที่คาดไว้ ส่งคืนสถานะออกศูนย์ถึง
บ่งบอกถึงความสำเร็จ ค่าอื่นใดบ่งชี้ความล้มเหลว ถ้า ชื่อผู้ใช้ จะได้รับ, พารามิเตอร์
สำหรับการตรวจสอบความถูกต้อง รวมถึงกุญแจ จะได้รับจากบัญชีนั้น เว้นแต่จะถูกแทนที่บน
บรรทัดคำสั่ง สถานะของเซิร์ฟเวอร์จะไม่เปลี่ยนแปลง เช่น เคาน์เตอร์ HOTP ไม่ใช่
ขั้นสูง. ถ้าไม่ ชื่อผู้ใช้ จะได้รับ -โหมด ต้องใช้แฟล็กและพารามิเตอร์
ที่จำเป็นสำหรับโหมดนั้นจะต้องได้รับรวมทั้งคีย์ สำหรับโหมด HOTP ค่าตัวนับ
จะต้องจัดให้มี สำหรับโหมด TOTP พารามิเตอร์บรรทัดคำสั่งจะมีผลในระหว่างนี้
การตรวจสอบ แด็กสโตเก้น จะทดสอบว่า ค่า otp ตรวจสอบกับพารามิเตอร์ใน
ผล
ดังต่อไปนี้ เปลี่ยนแปลง ธงเป็นที่เข้าใจ:
-ทั้งหมด
กับ -SET และไม่ ชื่อผู้ใช้, ใช้การเปลี่ยนแปลงกับ ทั้งหมด บัญชี สามารถใช้เพื่อ
เปิดหรือปิดการใช้งานบัญชีทั้งหมดเช่น ดิ - คีย์ และ -outkeys ธงคือ
เป็นเกียรติ หากเกิดข้อผิดพลาดการประมวลผลจะหยุดทันที ซึ่งในกรณีนี้ มีเพียงบางส่วนเท่านั้น
อาจมีการแก้ไขบัญชี
-ฐาน NUM
ใช้ NUM เป็นฐาน (radix) เมื่อแสดง OTP คุณค่าของ NUM ถูกจำกัดไว้ที่
10 (ค่าเริ่มต้น), 16,หรือ 32.
-เคาน์เตอร์ NUM
นี่คือค่าตัวนับ HOTP 8 ไบต์ที่จะตั้งค่า ซึ่งแสดงเป็นค่าฐานสิบหกหากนำหน้าด้วย
โดย "0x" (หรือ "0X") ทศนิยมมิฉะนั้น เลขศูนย์นำหน้าอาจถูกตัดออก แปลว่า HOTP
โหมด. สำหรับอุปกรณ์โทเค็น ไม่ควรรีเซ็ตตัวนับ (ตัวนับโมดูล
overflow) เพราะนั่นจะส่งผลให้ลำดับรหัสผ่านถูกทำซ้ำ สมมติว่า
ว่ากุญแจไม่เปลี่ยนแปลง การใช้งานซอฟต์แวร์อาจไม่มีข้อจำกัดนี้
อย่างไรก็ตาม โปรดระวังผลกระทบด้านความปลอดภัย
-ตัวเลข NUM
ใช้ NUM ตัวเลขเมื่อแสดง OTP คุณค่าของ NUM ถูกจำกัดไว้ที่ 6, 7, 8 (
ค่าเริ่มต้น) หรือ 9 มีฐาน 10. จำกัดไว้ที่ 6 มีฐาน 32 และถูกละเลยด้วย
ฐาน 16 (เอาต์พุตฐานสิบหก).
-ปิดการใช้งาน
ปิดการใช้งานบัญชีสำหรับ ชื่อผู้ใช้. local_token_authenticate โมดูลและ -รับรองความถูกต้อง และ
-ตรวจสอบความถูกต้อง ตั้งค่าสถานะจะไม่อนุญาตให้ผู้ใช้ตรวจสอบจนกว่าบัญชีจะได้รับ
เปิดใช้งานแม้ว่าการดำเนินการอื่น ๆ อาจยังคงดำเนินการในบัญชี ถ้า -เปิดใช้งาน
ใช้ในภายหลัง บัญชีจะสามารถใช้สำหรับการรับรองความถูกต้องและ is
กลับคืนสู่สภาพเดิมเมื่อถูกปิดใช้งาน ไม่ใช่ข้อผิดพลาดในการปิดใช้งาน an
บัญชีที่ปิดใช้งานแล้ว
-เปิดใช้งาน
เปิดใช้งานบัญชีสำหรับ ชื่อผู้ใช้. local_token_authenticate โมดูลจะช่วยให้
ผู้ใช้เพื่อตรวจสอบสิทธิ์ ไม่ใช่ข้อผิดพลาดในการเปิดใช้งานบัญชีที่เปิดใช้งานอยู่แล้ว
-hotp-หน้าต่าง NUM
หากรหัสผ่าน HOTP ที่คาดไว้ไม่ตรงกับรหัสผ่านที่ให้มา ให้ลองจับคู่กับ
NUM รหัสผ่านหลังรหัสผ่านที่คาดไว้ตามลำดับ ค่าศูนย์สำหรับ NUM
ปิดใช้งานการค้นหานี้
- คีย์ ประเภทรายการ
สำหรับการถอดรหัสรหัสลับ ให้ใช้ร้านค้าที่ระบุโดย ประเภทรายการ, น่าจะ
กำหนดค่าใน dacs.conf
-สำคัญ คีย์วาล
ใช้ คีย์วาล เป็นรหัสลับ ซึ่งแสดงเป็นสตริงเลขฐานสิบหก
Security
การจัดหาคีย์บนบรรทัดคำสั่งไม่ปลอดภัยเพราะอาจมองเห็นได้
กระบวนการอื่นๆ
-key-ไฟล์ ชื่อไฟล์
อ่านรหัสลับ ซึ่งแสดงเป็นสตริงเลขฐานสิบหก จาก ชื่อไฟล์. ถ้า ชื่อไฟล์ is
"-" คีย์ถูกอ่านจาก stdin
-key-พรอมต์
พร้อมต์สำหรับรหัสลับ ซึ่งแสดงเป็นสตริงเลขฐานสิบหก อินพุตไม่สะท้อน
-โหมด otp โหมด
สิ่งนี้ระบุ (ตัวพิมพ์เล็กและตัวพิมพ์เล็ก) ประเภทของโทเค็น (โหมดอุปกรณ์ OTP) สำหรับการใช้งาน
กับ -SET, -สร้างและการดำเนินการตรวจสอบความถูกต้องและการซิงโครไนซ์ ดิ otp โหมด อาจจะ
ตัวนับหรือ hotp สำหรับโหมดตัวนับ หรือ time หรือ topp สำหรับโหมดตามเวลา นี้
ต้องตั้งค่าสถานะเมื่อสร้างบัญชีใหม่
-outkeys ประเภทรายการ
สำหรับการเข้ารหัสคีย์ลับ ให้ใช้ร้านค้าที่ระบุโดย ประเภทรายการ, น่าจะกำหนดไว้
ใน dacs.conf
-pin พินวาล
ใช้ พินวาล เป็น PIN ลับสำหรับบัญชี
Security
การระบุ PIN บนบรรทัดคำสั่งไม่ปลอดภัยเพราะอาจมองเห็นได้
กระบวนการอื่นๆ
-pin-ข้อจำกัด Str
แทนที่จะใช้ รหัสผ่าน_CONSTRAINTS[14] ใช้ Str (มีไวยากรณ์เดียวกันและ
ความหมาย) เพื่ออธิบายข้อกำหนดสำหรับ PIN
หมายเหตุ
ข้อกำหนดสำหรับ PIN ใช้กับ PIN ที่ได้รับผ่านการตั้งค่าสถานะบรรทัดคำสั่งและกับเหล่านั้น
ได้รับจากการนำเข้า (โดยใช้แอตทริบิวต์ "p") ความต้องการไม่ได้
อย่างไรก็ตาม "ย้อนหลัง" ดังนั้นการเปลี่ยนแปลงข้อกำหนดจะไม่ส่งผลต่อ PIN ของ
บัญชีที่มีอยู่หรือบัญชีนำเข้าที่ส่งออกไปก่อนหน้านี้ (มี
แอตทริบิวต์ "ph")
-pin-ไฟล์ ชื่อไฟล์
อ่าน PIN ลับจาก ชื่อไฟล์. ถ้า ชื่อไฟล์ คือ "-" PIN จะอ่านจาก stdin
-pin-พร้อมท์
ถามหา PIN ลับ อินพุตไม่สะท้อน
-rnd
สงวนไว้สำหรับใช้ในอนาคต
- เมล็ด Str
สงวนไว้สำหรับใช้ในอนาคต
-ซีเรียล Str
หมายเลขซีเรียล, Strเป็นตัวระบุที่ไม่ซ้ำ (โดยอ้างว่า) ที่กำหนดให้กับโทเค็น
ตัวเลือกนี้ใช้กับ -SET, -สร้างและ -รายการ ธง หมายเลขซีเรียล
ระบุอุปกรณ์ OTP เฉพาะและไม่จำเป็นต้องเก็บเป็นความลับ คุณสมบัติที่เป็นเอกลักษณ์
บังคับใช้ภายในหน่วยจัดเก็บประเภทรายการ นั่นคือหมายเลขประจำเครื่องของ HOTP . ทั้งหมด
อุปกรณ์ต้องไม่ซ้ำกัน หมายเลขซีเรียลของอุปกรณ์ TOTP ทั้งหมดต้องไม่ซ้ำกัน และถ้า
บัญชีสำหรับอุปกรณ์ทั้งสองประเภทรวมกัน หมายเลขซีเรียลของอุปกรณ์ทั้งหมดจะต้อง
มีเอกลักษณ์. ยอมรับสตริงที่สามารถพิมพ์ได้ หากไคลเอนต์ซอฟต์แวร์กำลังสร้าง
รหัสผ่าน คุณสามารถใช้หมายเลขซีเรียลของอุปกรณ์หรือเลือกคำอธิบายที่เหมาะสม
สตริงที่ยังไม่ได้กำหนดให้กับอุปกรณ์
หมายเหตุ
เขตอำนาจศาลที่อนุญาต (หรืออาจอนุญาตในที่สุด) ทั้งโทเค็นฮาร์ดแวร์และ
แอปพลิเคชันไคลเอนต์ที่สร้างซอฟต์แวร์ควรพิจารณาการนำรูปแบบที่เป็นทางการมาใช้
รูปแบบการตั้งชื่อสำหรับโทเค็น ตัวอย่างเช่น ผู้ดูแลระบบอาจเติม "-hw" ต่อท้าย
หมายเลขซีเรียลของผู้ขายเพื่อสร้าง แด็กสโตเก้น หมายเลขซีเรียล สำหรับซอฟต์แวร์
โทเค็นผู้ดูแลระบบอาจสร้าง แด็กสโตเก้น หมายเลขซีเรียลโดยต่อท้าย
"-sw" กับหมายเลขประจำเครื่องของผู้จำหน่ายสำหรับอุปกรณ์
-totp-เดลต้า NUM
ปรับเวลาฐานโดย NUM ช่วงเวลา (แต่ละขั้นตอนขนาดจำนวนวินาที) เมื่อ
การคำนวณ TOTP ดิ NUM อาจเป็นค่าลบ ศูนย์ หรือค่าบวก ใช้เพื่อแก้ไข
สำหรับนาฬิกาที่ซิงโครไนซ์ไม่เพียงพอ
-totp-ดริฟท์ หน้าต่าง
สำหรับ TOTP ให้ใช้ขนาดหน้าต่างของ หน้าต่าง (ในแง่ของขนาดช่วง) สำหรับ
การตรวจสอบ ถ้า หน้าต่าง is 0ค่า TOTP ที่คำนวณต้องตรงกับค่าที่กำหนด
อย่างแน่นอน. ถ้า หน้าต่าง is 1, ตัวอย่างเช่น, แด็กสโตเก้น จะพยายามจับคู่ TOTP . ที่ให้มา
ค่าในช่วงก่อนหน้า ปัจจุบัน และถัดไป ซึ่งช่วยให้นาฬิกาใน
ระบบทำงาน แด็กสโตเก้น (หรือ local_token_authenticate) และอุปกรณ์ผลิตโทเค็นถึง
จะซิงโครไนซ์กันน้อยลง
Security
แม้ว่ามันจะชดเชยนาฬิกาที่ซิงโครไนซ์ได้ไม่ดี แต่การเพิ่มมูลค่าของ
หน้าต่าง ทำให้ระบบอ่อนแอลงโดยยืดอายุการใช้งานของรหัสผ่านแบบใช้ครั้งเดียว
-topp-แฮช ALG
ใช้ ALG เป็นอัลกอริทึมไดเจสต์กับ TOTP คุณค่าของ ALG ถูกจำกัดไว้เฉพาะ (case
ไม่ละเอียดอ่อน) SHA1 (ค่าเริ่มต้น), SHA256 หรือ SHA512
-totp-ไทม์สเต็ป วินาที
ใช้ วินาที เป็นขนาดช่วงเมื่อคำนวณ TOTP ต้องมากกว่าศูนย์ ดิ
ค่าเริ่มต้นคือ 30 วินาที
Security
แม้ว่ามันจะชดเชยนาฬิกาที่ซิงโครไนซ์ได้ไม่ดี แต่การเพิ่มมูลค่าของ
วินาที ทำให้ระบบอ่อนแอลงโดยยืดอายุการใช้งานของรหัสผ่านแบบใช้ครั้งเดียว
-vfs vfs_uri
ใช้ vfs_uri เพื่อแทนที่ วีเอฟเอส[33] คำสั่งการกำหนดค่ามีผลบังคับใช้ นี้สามารถ
ใช้ในการกำหนดค่าหรือกำหนดค่า auth_token, auth_hotp_token หรือ auth_totp_token เป็น
ระบุวิธีการจัดเก็บสำหรับบัญชีที่จะดำเนินการ
นอกเหนือจากข้อความแสดงข้อผิดพลาดที่พิมพ์ไปยังข้อผิดพลาดมาตรฐาน เอาต์พุตทั้งหมดไปที่
เอาต์พุตมาตรฐาน
ตามปกติแล้ว a แดชอพชั่น จะถูกกำหนดให้เลือกเขตอำนาจแทนซึ่ง
กำลังมีการจัดการบัญชี
ตัวอย่าง
ตัวอย่างเหล่านี้ถือว่าชื่อเขตอำนาจศาลที่จะใช้คือ EXAMPLE และสหพันธ์
โดเมนคือ example.com
ในการใช้วิธีการรับรองความถูกต้องนี้ a ดีแคส ผู้ดูแลระบบอาจทำตามขั้นตอนต่อไปนี้
สำหรับอุปกรณ์ OTP แต่ละรายการที่กำหนดให้กับผู้ใช้:
1. รับโทเค็นที่รองรับ ทบทวนวิธีการใช้สำหรับการตรวจสอบสิทธิ์ และเลือกค่า
สำหรับพารามิเตอร์ต่างๆ รับรหัสลับสำหรับอุปกรณ์จากผู้ขาย สำหรับ
อุปกรณ์ที่ตั้งโปรแกรมได้ เลือกคีย์สุ่มที่เหมาะสมและตั้งโปรแกรมลงในอุปกรณ์
ค่าตัวนับปัจจุบันอาจได้รับจากผู้ขายแม้ว่าจะเป็น
มีแนวโน้มที่จะเริ่มต้นเป็นศูนย์ สำหรับอุปกรณ์ที่ตั้งโปรแกรมได้ ให้ตั้งค่าตัวนับเป็น
ศูนย์. ตัดสินใจว่าจะต้องใช้ PIN หรือไม่ (ดู TOKEN_REQUIRES_PIN[9]). หากเป็นซอฟต์แวร์
กำลังใช้ไคลเอนต์ ติดตั้งซอฟต์แวร์บนอุปกรณ์ของผู้ใช้ (หรือให้ผู้ใช้ทำ
ดังนั้น) และกำหนดค่าซอฟต์แวร์
2. ตัดสินใจว่าจะจัดเก็บข้อมูลบัญชีไว้ที่ใด และหากจำเป็น ให้เพิ่มที่เหมาะสม
วีเอฟเอส[33] คำสั่งไปยัง dacs.conf ค่าเริ่มต้น (พบใน site.conf) จะรักษาบัญชี
ข้อมูลในไฟล์ชื่อ auth_tokens ภายในค่าเริ่มต้นส่วนตัวของแต่ละเขตอำนาจศาล
พื้นที่:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. สร้างคีย์เพื่อเข้ารหัสข้อมูลบัญชี (ดู ราชสกุล และ ลับ กุญแจ[34]) และ
ตัดสินใจว่าจะเก็บไว้ที่ไหน ตัวอย่างเช่น (ID ผู้ใช้ ID กลุ่ม เส้นทาง
ชื่อเขตอำนาจศาลและโดเมนของสหพันธ์อาจแตกต่างกันไป):
% ซีดี /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj ตัวอย่าง -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
หากจำเป็น ให้เติมคำที่เหมาะสม วีเอฟเอส[33] คำสั่งไปยัง dacs.conf; ค่าเริ่มต้นซึ่งก็คือ
ใช้ด้านบน รักษาข้อมูลบัญชีในไฟล์ชื่อ auth_token_keys within
พื้นที่ส่วนตัวเริ่มต้นของเขตอำนาจศาลแต่ละแห่ง:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. หากคุณต้องการให้ผู้ใช้ลงชื่อเข้าใช้ผ่าน dacs_authenticate(8)[2] คุณต้องกำหนดค่า a
ข้อ Auth ที่เหมาะสมใน dacs.conf เช่น:
URL "โทเค็น"
สไตล์ "ผ่าน"
การควบคุม "เพียงพอ"
5. มีหลายวิธีที่ผู้ดูแลระบบอาจดำเนินการ ขึ้นอยู่กับว่า
ความพยายามสามารถทำได้โดยผู้ใช้ (เช่น เชื่อถือได้หรือไม่ ด้านเทคนิคของพวกเขา
ความสามารถ) มีผู้ใช้กี่คน (ไม่กี่คนหรือหลายพันคน) และระดับความปลอดภัย
จำเป็นต้องใช้
1. เตรียมไฟล์ที่มี an XML ระเบียน[35] สำหรับแต่ละบัญชีที่จะสร้าง; ถ้า
ต้องใช้ PIN กำหนด PIN แบบสุ่มให้กับแต่ละบัญชี
2. ใช้ -นำเข้า[36] ตั้งค่าสถานะเพื่อสร้างบัญชี
3. มอบอุปกรณ์โทเค็น ชื่อผู้ใช้ และ (หากจำเป็น) PIN เริ่มต้นให้กับผู้ใช้
(อาจเป็นการยืนยันตัวตน) จัดให้มีการสาธิตที่จำเป็นและ
คำแนะนำ;
4. ให้ผู้ใช้ตั้งค่าหรือรีเซ็ต PIN สำหรับบัญชี และขอให้ผู้ใช้ลงชื่อเข้าใช้
ใช้โทเค็นเพื่อยืนยันการทำงานที่ถูกต้อง
ในการสร้างบัญชีที่ถูกปิดใช้งานสำหรับผู้ใช้ bobo สำหรับอุปกรณ์ HOTP:
% dacstoken -uj ตัวอย่าง -mode hotp -serial 37000752 -key-file bobo.key -create bobo
รหัสลับสำหรับบัญชี (ซึ่งต้องไม่มีอยู่แล้ว) ถูกอ่านจากไฟล์
โบโบ.คีย์. บัญชีใหม่ถูกปิดใช้งานโดยค่าเริ่มต้น ใช้ -เปิดใช้งาน เพื่อสร้างบัญชีที่เปิดใช้งาน
เมื่อสร้างบัญชีแล้ว จะสามารถซิงโครไนซ์กับโทเค็นได้ เพื่อซิงโครไนซ์
โทเค็น HOTP สำหรับผู้ใช้ bobo:
% dacstoken -uj ตัวอย่าง -sync 433268,894121,615120 bobo
ในตัวอย่างนี้ โทเค็นเฉพาะสร้างรหัสผ่านสามรหัสติดต่อกัน 433268
894121 และ 615120 โปรดทราบว่าสตริงลำดับรหัสผ่านที่ตามหลัง -ซิงค์ ธงคือ
อาร์กิวเมนต์เดียวที่ไม่มีช่องว่างฝังตัว หากคีย์สำหรับโทเค็นนี้คือ
19c0a3519a89b4a8034c5b9306db รหัสผ่านถัดไปที่สร้างโดยโทเค็นนี้ควรเป็น 544323
(มีค่าตัวนับ 13). สามารถตรวจสอบได้โดยใช้ -hotp-แสดง:
% dacstoken -hotp-show 5 - เคาน์เตอร์ 10 - คีย์ 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b:894121
000000000000000c:615120
000000000000000d:544323
000000000000000e: 002442
ในการเปิดใช้งานบัญชีสำหรับผู้ใช้ bobo:
% dacstoken -uj EXAMPLE - เปิดใช้งาน -set bobo
ในการตั้ง PIN และเปิดใช้งานบัญชีสำหรับผู้ใช้ Bobo:
% dacstoken -uj EXAMPLE - เปิดใช้งาน -pin "CzAy" -set bobo
ในการแสดงรายการบัญชีทั้งหมดโดยละเอียด:
% dacstoken -uj ตัวอย่าง -long
พื้นที่ -รายการ แฟล็กซ้ำซ้อนเนื่องจากเป็นการดำเนินการเริ่มต้น ดิ -โหมด, -เคาน์เตอร์ฯลฯ
ตัวแก้ไขไม่มีผลเมื่อแสดงรายการ
ในการแสดงรายการเฉพาะบัญชีสำหรับโบโบ:
% dacstoken -uj ตัวอย่าง -list bobo
สถานะการออกจะไม่เป็นศูนย์หากผู้ใช้รายนี้ไม่มีบัญชี
ในการแสดงบัญชีสำหรับอุปกรณ์ที่มีหมายเลขซีเรียล 37000752:
% dacstoken -uj ตัวอย่าง -serial 37000752
หมายเลขซีเรียล ซึ่งควรระบุโทเค็นโดยเฉพาะ มักจะพิมพ์บนโทเค็น
หรือสามารถแสดงโดยโทเค็น
การตั้งค่าตัวนับสำหรับบัญชีที่มีอยู่ของ bobo:
% dacstoken -uj ตัวอย่าง -เคาน์เตอร์ 9 -ตั้งค่า bobo
การดำเนินการนี้อาจใช้สำหรับการทดสอบหรือกับโทเค็นของซอฟต์แวร์ ดิ -ซิงค์ การดำเนินงานคือ
เหมาะสมกว่าสำหรับโทเค็นฮาร์ดแวร์
วิธีเปลี่ยน PIN สำหรับชื่อผู้ใช้ bobo:
% dacstoken -uj ตัวอย่าง -pin-prompt -set bobo
โปรแกรมจะถามหา PIN ใหม่
ในการใช้ไฟล์บัญชีสำรอง /secure/auth_tokens:
% dacstoken -uj EXAMPLE -vfs "dacs-kwv-fs:/secure/auth_tokens" - รายการ
ในการใช้คีย์ใหม่ (ตั้งสมมติฐานเหมือนกับก่อนหน้านี้) ให้เพิ่มคำสั่ง VFS ที่เหมาะสมลงใน
dacs.conf; ค่าเริ่มต้นกำหนดประเภทรายการ auth_token_keys_prev ดังนี้:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% ซีดี /usr/local/dacs/federations_root/example.com/EXAMPLE
% MV auth_token_keys auth_token_keys.prev
% dacskey -uj ตัวอย่าง -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj ตัวอย่าง -inkeys auth_token_keys.prev -set
วินิจฉัย
โปรแกรมออกจาก 0 หรือ 1 หากเกิดข้อผิดพลาด
ใช้ dacstoken ออนไลน์โดยใช้บริการ onworks.net
