Ito ang command dacstoken na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
dacstoken - mangasiwa ng mga pang-isang beses na password na nakabatay sa hash
SINOPSIS
dacstoken [dacsoptions[1]] [-lahat] [-base num] [-kontra num] [-mga digit num]
[- huwag paganahin | -paganahin] [-hotp-window num] [-mga inkey item_type]
[[-susi keyval] | [-susi-file filename] | [-key-prompt]] [-mode otp-mode]
[-mga outkey item_type]
[[-pin pinval] | [-pin-file filename] | [-pin-prompt]] [-pin-constraints STR]
[-rnd] [-binhi STR] [-serye STR] [-totp-delta num] [-totp-drift nwindows]
[-totp-hash algae]
[-totp-timestep tuyo] [-vfs vfs_uri] [op-spec] [username]
DESCRIPTION
Ang programang ito ay bahagi ng Dacs suite.
Ang dacstoken nangangasiwa ng utility Dacs mga account na nauugnay sa isang beses na password (OTP)
mga kagamitan sa pagbuo (token) o mga kliyenteng nakabatay sa software. Gamit ang mga opsyon sa command line, ito rin
kinakalkula ang mga halaga ng OTP; Maaaring ma-override ang mga parameter ng token account, ngunit hindi pantay ang mga account
kinakailangan.
Ang malakas, dalawang-factor na pagpapatotoo ay maaaring ibigay kapag dacs_authenticate[2] ay na-configure
upang gamitin ang local_token_authenticate[3] module ng pagpapatunay o kung kailan dacstoken ay ginagamit bilang
isang standalone na programa upang patunayan ang mga password. Parehong nakabatay sa HMAC ang one-time na password mode
(HOTP), batay sa isang counter ng kaganapan at tinukoy ng RFC 4226[4], at ang batay sa oras
one-time password mode (TOTP), gaya ng tinukoy ng pinakahuli IETF Internet-Draft[5] panukala,
ay suportado. karagdagan ng pag-andar mode[6] tinatawag na OCRA (SUMPA Hamon-Tugon
Algorithm), na inilarawan sa isang IETF Internet-Draft, ay hindi pa ganap na suportado.
nota
Ang bersyong ito ng dacstoken isinasama ang maraming pagbabago na hindi paatras na tugma
na may release 1.4.24a at mas maaga. Ang ilang mga flag ng command line ay gumagana nang iba, at
nagbago ang format ng file ng account. Kung ginamit mo ang utos na ito sa mas maaga
mga release, mangyaring gumawa ng backup na kopya ng iyong token account file at suriin ang manwal na ito
maingat na pahina bago magpatuloy (tandaan ang -convert bandila[7] sa partikular).
mahalaga
Walang software na ibinigay ng vendor ang kinakailangan ng dacstoken upang matustusan ang pag-andar nito. Ang
Ang mga device na kasalukuyang sinusuportahan ay hindi nangangailangan ng anumang pakikipag-ugnayan sa pagpaparehistro o pagsasaayos
kasama ang mga nagtitinda at dacstoken ang hindi makipagtulungan sa mga nagtitinda mga server or gamitin anumang
pagmamay-ari software. Maaaring kailanganin ang software na ibinigay ng vendor upang gumanap
pagsisimula o pagsasaayos para sa iba pang mga token device, gayunpaman, at dacstoken ang
hindi nagbibigay ng ganoong suporta para sa kanila.
Ang bawat token device ay karaniwang tumutugma sa eksaktong isang account na pinamamahalaan ng
dacstoken, kahit na ang ilang mga vendor ay gumagawa ng mga token na maaaring suportahan ang maramihang mga account.
Upang buod, ang utility na ito:
· lumilikha at nangangasiwa Dacs mga account na nauugnay sa counter-based at time-based
isang beses na mga password
· nagbibigay ng pagpapatunay at pag-andar ng pagsubok
· nagbibigay ng kakayahan sa pagpapatunay ng command line
Katiwasayan
Tanging ang Dacs dapat na matagumpay na mapatakbo ng administrator ang program na ito mula sa
command line. kasi Dacs key at configuration file, kasama ang file na ginamit noon
store account, ay dapat na limitado sa administrator, ito ay karaniwang ang
kaso, ngunit ang isang maingat na administrator ay magtatakda ng mga pahintulot ng file upang tanggihan ang access sa lahat
ibang mga gumagamit.
nota
Ang dacs_token(8)Ang [8] web service ay nagbibigay sa mga user ng limitadong self-service
functionality upang itakda o i-reset ang PIN ng kanilang account at i-synchronize ang kanilang token. Ito rin
ay may demonstration mode upang pasimplehin ang pagsubok at pagsusuri.
Mga PIN (Account Mga password)
A dacstoken ang account ay maaaring opsyonal na magkaroon ng PIN (ibig sabihin, isang password) na nauugnay dito. Upang
patotohanan laban sa naturang account, ang isang user ay dapat magbigay ng isang beses na password na ginawa
sa pamamagitan ng token at ang PIN. Ang TOKEN_REQUIRES_PINTinutukoy ng [9] configuration directive
kung dapat magbigay ng PIN kapag lumilikha o nag-i-import ng account; hindi ito nalalapat sa
kaakibat ng -delpin flag, dahil isang administrator lang ang dapat na makapagsagawa
function na iyon.
Ang isang hash ng PIN ay nakaimbak sa talaan ng account kaysa sa mismong PIN. Pareho
paraan na ginamit ng dacspasswd(1)[10] at dacs_passwd(8)[11] ay inilapat, at depende sa
PASSWORD_DIGEST[12] at PASSWORD_SALT_PREFIX[13] mga direktiba na may bisa. Kung
PASSWORD_DIGEST[12] ay na-configure, ang algorithm na iyon ay ginagamit, kung hindi ay isang compile-time
default (SHA1) ang ginagamit. Kung nakalimutan ng user ang PIN, hindi na mababawi ang luma kaya ito
dapat tanggalin o dapat magtakda ng bago.
Ang ilang mga token device ay may kakayahan sa PIN na nakapaloob sa mga ito. Ang user ay dapat maglagay ng PIN sa
ang device bago ang device ay maglalabas ng isang beses na password. Ang "PIN ng device" na ito ay
ganap na naiiba sa PIN ng account na pinamamahalaan ni dacstoken, at ang manwal na ito ay
nag-aalala lamang sa dacstoken PIN. Ang PIN ng device ay dapat palaging gamitin kapag posible;
ang dacstoken Lubos na inirerekomenda ang PIN at kinakailangan para sa two-factor authentication
(maliban kung ang isang karagdagang kadahilanan ng pagpapatunay ay inilapat sa ibang paraan).
Dahil ang administrator lamang ang pinapayagang magpatakbo ng utos na ito, walang mga paghihigpit na ipinapataw
sa haba o kalidad ng mga PIN na ibinibigay ng administrator; isang mensahe ng babala
ay ilalabas, gayunpaman, kung ang password ay itinuturing na mahina gaya ng tinutukoy ng
PASSWORD_CONSTRAINTS[14] direktiba.
Isang beses Ang mga password
Ang parehong uri ng isang beses na device ng password ay nagku-compute ng halaga ng password sa pamamagitan ng paggamit ng secure
keyed hash algorithm (RFC 2104[15], Fi 198[16]). Sa counter-based na paraan, ang device
at ang server ay nagbabahagi ng isang lihim na key at isang counter value na na-hash upang magbunga ng isang numerical
value na ipinapakita sa isang partikular na radix na may tiyak na bilang ng mga digit. Matagumpay
ang pagpapatunay ay nangangailangan ng device at server na kalkulahin ang mga katugmang password. Sa bawat oras na ang
gumagawa ng password ang device, dinadagdagan nito ang counter nito. Kapag nakatanggap ang server ng pagtutugma
password, dinadagdagan nito ang counter nito. Dahil posibleng maging ang dalawang counter
hindi naka-synchronize, ang pagtutugma ng algorithm ng server ay karaniwang papayagan ang password ng isang kliyente
upang mahulog sa loob ng isang "window" ng mga counter value. Ang paraan na nakabatay sa oras ay magkatulad, ang pangunahing
Ang pagkakaiba ay ang kasalukuyang oras ng Unix (bilang ibinalik ng oras(3)[17], halimbawa) ay
ginamit upang magtatag ng isang "time-step window" na nagsisilbing counter value sa computation
ng secure na hash. Dahil ang mga real-time na orasan sa device at server ay maaaring hindi
sapat na naka-synchronize, ang pagtutugma ng algorithm ng server ay dapat ding payagan ang isang kliyente
password upang mahulog sa loob ng ilang bilang ng mga time-step window para sa mga device na ito.
Katiwasayan
Ang isang token ay maaaring magtalaga ng permanenteng sikretong key (minsan ay tinatawag na OTP seed) sa pamamagitan nito
tagagawa o ang susi ay maaaring programmable. Ang lihim na susi na ito ay ginagamit ng mga token
pamamaraan ng pagbuo ng password at kritikal na panatilihin itong pribado. Kung ang token
ay hindi programmable, ang susi ay nakuha mula sa vendor (para sa isang HOTP token, kadalasan
sa pamamagitan ng pagbibigay ng serial number ng device at anumang tatlong magkakasunod na password). Isang record
ng bawat pagmamapa mula sa serial number hanggang sa sikretong key ay dapat itago sa isang secure na lokasyon.
Kung ang sikretong key ay programmable, dahil ito ay malamang na kasama ng isang software client, ito ay
kinakailangan na hindi bababa sa 128 mga piraso sa haba; isang minimum ng 160 bits Inirerekomenda. Ang
Ang key ay kinakatawan ng isang 16 (o higit pa) character na mahabang hexadecimal string. Ang susi dapat
makuha mula sa isang cryptographic-quality source ng random bits. Ang ilang mga kliyente ay maaaring
may kakayahang makabuo ng angkop na susi, ngunit maaari mong gamitin dacsexpr(1)[18]:
% dacsexpr -e "random(string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Tip
Maaaring gamitin ang mga token para sa mga layunin ng pagpapatunay maliban sa pag-sign on sa computer. Para sa
halimbawa, sa pamamagitan ng pagbibigay ng account number, PIN, at halaga ng token, mabilis na magagawa ng mga customer
mapatotohanan sa pamamagitan ng telepono, binabawasan o inaalis ang pangangailangan para sa mahal at
mga tanong sa seguridad na umuubos ng oras.
May mga sumusunod na parameter sa pagpapatakbo ang mga device at application ng isang beses na password.
Tinutukoy ng mga parameter na ito ang pagkakasunod-sunod ng password na nabuo. Ilang operational
ang mga parameter ay maaaring maayos (sa pamamagitan ng nauugnay na pamantayan o dahil sa pagpapatupad), habang
ang iba ay maaaring bahagyang o ganap na mai-configure ng user. Mangyaring sumangguni sa
mga sanggunian at dokumentasyon ng mga tagagawa para sa mga detalye.
base
Ang radix kung saan ipinapakita ang mga password.
kontrahin
Para sa HOTP mode lang, ang kasalukuyang counter value.
numero
Ang bilang ng mga digit sa bawat isang beses na password.
susi
Ang lihim na susi (OTP seed).
serial number
Isang natatanging identifier o pangalan para sa device.
laki ng hakbang ng oras
Para sa TOTP mode lamang, ang lapad ng bawat agwat ng oras, sa mga segundo. Ang parehong password
ay mabubuo sa loob ng isang naibigay na agwat; ibig sabihin, ito ang "lifetime" o validity
panahon ng bawat TOTP password.
Bilang karagdagan sa mga parameter na ito, dacstoken gumagamit ng ilang per-account (ibig sabihin, bawat device)
mga parameter:
accept-window
Kapag nagpapatunay ng HOTP password, ang maximum na bilang ng mga password na isasaalang-alang pagkatapos ng
inaasahang password.
sumama sa agos
Para sa TOTP mode lamang, ang bilang ng mga segundo upang ayusin ang orasan ng server
pasulong o paatras upang mas mahusay na i-synchronize ito sa device. Ito ay nakasanayan na
magbayad para sa mga token o software ng kliyente na ang mga orasan ay hindi maayos na naka-synchronize
ng server.
drift-window
Para sa TOTP mode lamang, ngunit kahalintulad sa accept-window, ang maximum na bilang ng
mga pagitan (bawat isa sa laki ng hakbang ng oras) upang maghanap pasulong at paatras kapag nagpapatunay
laban sa ibinigay na password.
sync-otps
Para sa HOTP mode lamang, ang bilang ng magkakasunod na isang beses na password na kinakailangan upang
i-synchronize ang account sa device.
username
Ang pangalan ng Dacs account na nakatali sa device.
Ang pagpapatotoo batay sa isang beses na mga device ng password ay may mga sumusunod na pakinabang:
· Sa bawat oras na authenticate ng user, bubuo ng ibang password (na may mataas na
posibilidad); hindi maaaring isulat ng mga user ang "ang password" dahil ang password ay
palaging nagbabago; hindi makalimutan ng mga user ang kanilang password;
· Kapag nagamit na, ang password ng HOTP mode ay agad na "naubos" at malamang na hindi gagamitin
muli sa mahabang panahon; na may angkop na mga parameter ng pagsasaayos, isang password ng TOTP mode
awtomatikong "mag-e-expire" sa loob ng medyo maikling agwat ng oras at malamang na hindi
ginamit muli sa mahabang panahon;
· Kung walang pagwawasto para sa clock drift ay kinakailangan, ang isang TOTP mode account ay maaaring magkaroon ng read-only
operasyon;
· Dahil ang password ay malamang na hindi isang madaling mahulaan na numero o string, dapat ito
maging mas malakas kaysa sa karamihan ng mga password na pinili ng user;
· Ang isang HOTP token ay maaaring maging batayan ng isang pare-parehong ("bidirectional") na paraan ng pagpapatunay; ang
Ipinapakita ng server sa user ang susunod na password ng kanyang token upang kumpirmahin ang pagkakakilanlan nito (na may pareho
mga partido na sumusulong sa kanilang mga counter), pagkatapos ay ipapakita ng kliyente sa server ang susunod na password
upang kumpirmahin ang kanyang pagkakakilanlan;
· Kung may naka-install na key sniffer sa computer ng user, hindi na-sniff ang password
gumawa ng mabuti sa isang umaatake maliban kung a man-in-the-middle atake[19] ay posible; binigay N
magkasunod na mga password napakahirap pa ring kalkulahin ang password N + 1 wala
alam ang sikretong susi;
· Mas mahirap para sa mga user na magbahagi ng account (bagaman ang mga user ay maaaring minsan
tingnan ito bilang isang abala);
· Kung ang dacstoken Ang PIN ay itinalaga sa isang account at ang isang umaatake ay nakakuha ng account
token, mahirap pa rin para sa umaatake na mag-authenticate nang hindi alam ang PIN;
· Ang isang mabilis at agad na epektibong paraan upang hindi paganahin ang isang account ay sa pamamagitan lamang ng pag-agaw ng a
hardware token (hal., kung ang isang empleyado ay tinanggal), kahit na ang isang account ay maaaring hindi paganahin ng
ang program na ito o gamit ang pagpapawalang bisa listahan[20];
· Sa kaso ng isang software client na tumatakbo sa isang mobile device, tulad ng isang telepono o PDA,
dala na ng mga user ang device; libreng mga kliyente ay magagamit, kaya doon
maaaring walang karagdagang gastos (tandaan na ang mga mobile device ay maaaring hindi nag-aalok ng pareho
tamper-resistance, tibay, key secrecy, katumpakan ng orasan, atbp. ng isang hardware token).
May mga sumusunod na potensyal na disadvantage ang mga one-time na password device:
· May isang beses na gastos para sa isang hardware token (depende sa dami ng pagbili,
maaari mong asahan na magbayad ng $10-$100 USD bawat isa), at may posibilidad na kailanganin
palitan ang nawala o sirang token, o ang baterya ng token (ilang unit ay may a
hindi mapapalitang baterya, na ginagawang disposable ang mga ito pagkatapos ng ilang taon);
· Ang paunang pagsasaayos ay medyo mas mahirap kaysa sa iba pang pagpapatunay
pamamaraan, at ang mga user na hindi pamilyar sa mga device ay kailangang ituro sa kanilang
gamitin;
· Bagama't karaniwan ay medyo maliit ang mga ito (hal., 5cm x 2cm x 1cm) at maaaring ikabit sa
isang keychain o lanyard, o nakatago sa wallet, maaaring mapangiwi ang mga user sa pagkakaroon ng token
sa paligid kasama nila;
· Maaaring kalimutan ng mga user na dalhin ang kanilang token o mawala ang token;
· Ang isang mobile device (na may software client) ay malamang na isang target para sa pagnanakaw, higit pa
kaya kaysa sa isang hardware token (kaya ang karagdagang kahalagahan ng isang PIN para sa device na ito);
· Hindi tulad ng isang hardware token kung saan ang susi ay sinusunog sa hindi naa-access, tamper-proof
memorya, ang key na na-configure sa isang software client ay malamang na mababasa nito
may-ari, ginagawang posible ang pagbabahagi ng account;
· Ang pagpasok ng 40 character o mas mahabang seed value sa isang mobile device ay maaaring nakakadismaya
at madaling kapitan ng pagkakamali;
· Kapag nakabuo ng password ang TOTP device, hindi makakabuo ng bagong password hanggang sa
susunod na time-step na window, na nangangailangan ng user na maghintay ng 30 (o posibleng 60) segundo (hal,
kung ang isang entry error ay ginawa);
· Ang ilang mga aparato ay mahirap basahin sa mababang liwanag na mga kondisyon; mga gumagamit ng presbyopic at mga
na may kapansanan sa paningin ay maaaring nahihirapang basahin ang display.
Account
Ang mga account na pinamamahalaan ng dacstoken ay ganap na hiwalay sa mga account na ginagamit ng
local_passwd_authenticate[21] o anumang iba pa Dacs module ng pagpapatunay.
Ang mga account para sa HOTP at TOTP na mga device ay maaaring pagsamahin o panatilihing hiwalay. Kung ang virtual
Ang uri ng item ng filestore na auth_hotp_token ay tinukoy, ginagamit lamang ito para sa mga account na nauugnay
may mga HOTP token. Katulad nito, kung ang uri ng item ng virtual filestore na auth_totp_token ay
tinukoy, ginagamit lamang ito para sa mga account na nauugnay sa mga token ng TOTP. Kung ang alinmang uri ng item ay
hindi tinukoy, ang mga account ay ina-access sa pamamagitan ng ng DACS virtual na filestore gamit ang uri ng item
auth_token. Ipinapalagay na ang mga pahintulot ng file sa mga database ng account ay tulad na lahat
ang pag-access ay limitado sa administrator at local_token_authenticate.
Kung ang mga account para sa dalawang uri ng device ay pinagsama, dahil ang bawat username para sa isang
Ang paraan ng pagpapatotoo ay dapat na natatangi, kung ang isang indibidwal ay may parehong uri ng token dapat sila
bibigyan ng iba't ibang mga username. Kaya, halimbawa, kung si Auggie ay may isang HOTP token at isa
TOTP token, ang una ay maaaring tumutugma sa username auggie-hotp at ang huli sa
auggie-totp; ang sign-on form ay maaaring may kasamang device-mode input na magpapahintulot kay Auggie
upang i-type lamang ang "auggie" sa patlang ng username at JavaScript upang awtomatikong idagdag ang
naaangkop na suffix batay sa piliin na mode ng device. Isang halatang kawalan nito
pagsasaayos ay nagreresulta ito sa dalawang magkaibang Dacs pagkakakilanlan para sa parehong indibidwal;
ito ay kailangang tandaan kung kailangan ng isang access control rule para matukoy si Auggie
tahasan. Kung ang parehong mga token ay dapat na mapa sa pareho Dacs pagkakakilanlan, ang Auth clause ay maaaring
tanggalin ang suffix pagkatapos ng matagumpay na pagpapatunay, ngunit gagawin ng administrator
kailangang mag-ingat sa kaso ng dalawang magkaibang Auggies, bawat isa ay gumagamit ng magkaibang uri ng device.
Pag-configure ng parehong auth_hotp_token at auth_totp_token na mga uri ng item (o isa lang sa mga ito
at auth_token) pinapanatiling hiwalay ang mga account at pinapayagan ang parehong username na gamitin para sa
parehong uri ng mga aparato. Maaaring magkaroon si Auggie ng account record na may parehong
username para sa parehong uri ng device. Nangangailangan ang diskarteng ito na tukuyin ang mode ng device
kapag hiniling ang isang operasyon upang magamit ang tamang uri ng item; ibig sabihin nito
dapat malaman ng mga user kung anong uri ng device ang kanilang ginagamit (marahil sa pamamagitan ng paglalagay ng label dito).
Sumangguni sa mahahalagang detalye tungkol sa Dacs pagkakakilanlan[22].
Ang -vfs ay ginagamit upang i-configure o muling i-configure ang uri ng item na auth_token.
Mga susi lamang na nakakatugon sa minimum na kinakailangan sa haba ng key (16 bytes) ay maaaring maimbak kasama ng
impormasyon ng account (hal., may -itakda or -angkat). Sa ibang mga konteksto, ang kinakailangan ay
hindi ipinatupad.
Ang lihim na susi ay naka-encrypt ng dacstoken kapag isinulat ito sa file ng account. Ang
Ang uri ng item ng virtual filestore na auth_token_keys ay kinikilala ang mga encryption key para sa dacstoken
gamitin; ang -mga inkey at -mga outkey ang mga flag ay tumutukoy ng mga kahalili (tingnan dacskey(1)[23]). Kung ang
Ang mga susi sa pag-encrypt ay nawala, ang mga lihim na susi ay halos hindi na mababawi.
mahalaga
Kung ang isang umaatake ay nakatuklas ng isang lihim na susi, na bumubuo ng mga magagamit na password nang hindi nagtataglay
hindi magiging mahirap ang token. Para sa hindi bababa sa ilang mga token ng hardware, sinusunog ang susi
sa device at hindi na mababago; sa kasong ito, kung na-leak ang susi sa device
dapat sirain. Kung ang isang token ay nawala, ang kaukulang account ay dapat na hindi paganahin.
Kung sakaling ang isang umaatake ay nakahanap ng isang nawawalang token o nakatuklas ng isang lihim na susi, na mayroong isang malakas
Ang PIN na nauugnay sa account ay magpapahirap para sa umaatake na makuha
access.
mahalaga
· Ang paraan ng pagpapatunay na ito ay nasubok laban sa mga sumusunod na produkto ng OTP:
· Awthenex Susi 3600[24] isang beses na password (HOTP) token ng hardware;
· Feitian Technologies[25] OTP C100 at OTP C200 isang beses na hardware ng password
mga token, na ibinigay ng HyperSecu Impormasyon Systems[26]; at
· SUMPA Token[27] software application ni Archie Cobbs, na nagpapatupad ng pareho
HOTP at TOTP sa iPod Hawakan, iPhone at iPad[28].
· Feitian Technologies iOATH Lite[29] HOTP software application para sa iPod
Pindutin, iPhone, at iPad.
Iba pang mga tagagawa na interesado sa pagkakaroon ng kanilang mga produkto na suportado ng Dacs ay
malugod na makipag-ugnayan kay Dss.
· Photo[30]: Feitian OTP C200, iPod Touch na may OATH Token app, Authenex A-Key
3600 (clockwise mula sa kaliwa sa itaas)
· Bagama't ang pagpapatupad na ito ay dapat na gumana sa mga katulad, naaayon na mga produkto, lamang
ang mga produktong ito ay opisyal na sinusuportahan ng Dacs.
· Ang mga token ng hardware ay maaaring mabili nang direkta mula sa mga vendor.
· Anumang mga problema sa paggamit ng mga token upang patotohanan Dacs ay hindi ang
responsibilidad ng nagbebenta ng token.
Ini-import ang at Ine-export OTP Account
Ang mga paglalarawan ng mga account at ang kanilang mga token ay maaaring i-load o itapon (sumangguni sa -angkat
at -export mga watawat). Pinapasimple nito ang maramihang provisioning, backup, at portability. Ang
ang impormasyon ng account ay nakasulat sa isang simple, tukoy sa application (halos) XML na format.
Ang format na naunawaan ng dacstoken ay binubuo ng root element ("otp_tokens"), na sinusundan ng
zero o higit pang elemento ng "otp_token", isa bawat linya, bawat isa ay may kinakailangan at opsyonal
mga katangian (inilarawan sa ibaba). Dapat tanggalin ang deklarasyon ng XML. Nangunguna sa whitespace at
hindi pinapansin ang mga blangkong linya, gayundin ang mga single line na XML na komento. Bukod pa rito, ang mga linyang may "#"
bilang ang unang character na hindi whitespace ay binabalewala. Mga opsyonal na katangian na hindi
kasalukuyan ay nakatalaga ng mga default na halaga. Ang default na algorithm ng digest ay SHA1. Maikling katangian
ginagamit ang mga pangalan para makatipid ng espasyo. Mga hindi nakikilalang katangian, at mga katangiang hindi nauugnay sa
device mode, ay binabalewala. Mga single o double quote character (o pareho) sa loob ng XML attribute
ang mga halaga ay dapat mapalitan ng kaukulang sanggunian ng entity ("'" at """,
ayon sa pagkakabanggit), tulad ng dapat na "<" (mas mababa sa) at "&" (ampersand) na mga character. Isang ">" (mas malaki
than) na character ay maaaring opsyonal na palitan ng isang ">" sequence, ngunit walang ibang entity
kinikilala ang mga sanggunian.
Ang mga kinikilalang katangian ay:
· b:
base
-- radix para sa halaga ng OTP
[Opsyonal:
10 (default),
16, O 32]
· c:
kontrahin
-- kasalukuyang counter value para sa HOTP, sa hex kung nauna
sa pamamagitan ng "0x" (o "0X"), kung hindi man ay decimal
[Opsyonal:
ang default ay 0]
· d:
OTP aparato paraan
-- "c" (para sa HOTP)
o "t" (para sa TOTP)
[Kailangan]
· dn:
digest-pangalan
-- isa sa mga Secure Hash Algorithm
[Opsyonal:
SHA1 (default),
SHA224, SHA256,
SHA384, SHA512]
· dr:
clock-drift
-- pagsasaayos ng orasan, sa mga segundo, para sa TOTP
[Opsyonal]
· ek:
naka-encrypt na susi
-- naka-encrypt na sikretong key, base-64 na naka-encode
[Kailangan:
OTP account records lang]
· en:
enabled-status
-- 1 para sa pinagana,
0 para sa may kapansanan
[Kailangan]
· k:
plaintext-key
-- hindi naka-encrypt na sikretong key
[Kailangan]
· lu:
huling-update
-- Unix time ng huling record update
[Opsyonal: ang default ay kasalukuyang oras]
· nd:
mga digit
-- bilang ng mga digit para sa halaga ng OTP
[Opsyonal:
ang default ay 6 para sa HOTP,
8 para sa TOTP]
· p:
plaintext-PIN
-- halaga ng plaintext PIN para sa account
[Kailangan:
maliban kung naroroon ang ph,
para sa import lamang]
· ph:
hashed-PIN
-- hash na halaga ng PIN para sa account
[Opsyonal:
nabuo ng dacstoken
para sa mga file ng export at OTP account lamang]
· s:
serial-number
-- natatanging identifier string para sa device
[Kailangan]
· ts:
oras-hakbang
-- time-step na halaga, sa mga segundo, para sa TOTP
[Opsyonal:
ang default ay 30]
· ikaw:
username
-- isang wasto Dacs username na nauugnay sa account na ito
[Kailangan]
Ang sumusunod na halimbawa ay naglalarawan ng dalawang account na maaaring gawin gamit ang -angkat bandila:
Katiwasayan
Dahil kasama sa mga na-import na tala ang mga hindi naka-encrypt na sikretong key para sa mga OTP device, ang
ang na-export na file ay dapat panatilihing naka-encrypt (hal., gamit openssl) o hindi bababa sa mayroon
naaangkop na mga pahintulot ng file.
nota
Isang karaniwang format para sa provisioning ng OTP device ay ginagawa. Ang format na ito ay maaaring
naiintindihan ng isang bersyon sa hinaharap ng dacstoken, o maaaring isulat ang isang conversion utility.
Ang karaniwang format ay malamang na mas kumplikado kaysa sa Dacs format.
Opsyon
Bilang karagdagan sa pamantayan dacsoptions[1], isang mahabang listahan ng mga flag ng command line ay
kinikilala. Kapag a username ay ibinigay, ang mga default na halaga na nauugnay sa account na iyon ay
ginagamit, kung hindi man inirerekomenda o mga default na tukoy sa pagpapatupad ang ginagamit. Ang mga default na ito
karaniwang maaaring ma-override ang mga value sa command line. Ang ilang mga flag ay pinapayagan lamang na may a
partikular na token mode (hal., -kontra, -totp-palabas) at ang kanilang hitsura ay nagpapahiwatig ng mode na iyon,
ginagawa ang -mode watawat na hindi kailangan; iba pang mga flag ay mode independent (hal., -tanggalin,
-paganahin). Ito ay isang error na gumamit ng isang hindi tugmang kumbinasyon ng bandila. Mga bandila na
walang kahulugan sa napiling operasyon ay binabalewala, bagama't nagpapahiwatig pa rin sila ng isang mode.
Ang mga halaga ng hexadecimal ay case insensitive. Kung kinakailangan ang isang counter value ngunit hindi tinukoy
(hal., kapag gumagawa ng account), isang paunang counter value na zero ang ginagamit.
Ang op-spec tumutukoy sa operasyon na isasagawa, kasama ng zero o higit pa pagbabago
mga watawat. Kung op-spec ay nawawala, ang -Lista isinasagawa ang operasyon. An op-spec ay isa sa mga
sumusunod:
-auth otp-value
Ang watawat na ito ay parang -patunayan[31], maliban sa:
· a username ay kinakailangan, kung saan ang lahat ng mga parameter ay nakuha (tulad ng susi);
· kung ang account ay may PIN, dapat itong ibigay;
· kung ang account ay para sa isang HOTP token, ang counter ay ia-update kung authentication
ay matagumpay.
Ang isang exit status na zero ay nagpapahiwatig ng matagumpay na pagpapatunay, habang ang anumang iba pang halaga
nangangahulugan na nabigo ang pagpapatunay.
-convert filename
Mag-load ng mas lumang format (bago ilabas ang 1.4.25) token account file mula sa filename ("-"
ibig sabihin ay magbasa mula sa stdin), i-convert ito sa mas bagong format, at isulat ito sa stdout (as
by -export). Ang flag na ito ay hindi na ginagamit at ang kakayahang ito ay aalisin sa hinaharap
release ng Dacs.
-lumikha
Gumawa ng account para sa username, na hindi dapat umiral. Sa ibang aspeto ito
gumagana tulad -itakda[32]. Kapag gumagawa ng bagong account, -serye ay kinakailangan at -susi is
ipinahiwatig. Kung hindi -paganahin ibinibigay ang bandila kapag gumagawa ng account, - huwag paganahin ay ipinahiwatig.
Kung hindi -kontra flag ay ibinigay, ang isang default na zero ay ginagamit. Kung ang isa sa mga PIN flag ay
kasalukuyan, ang ibinigay na PIN ay itatalaga sa account, kung hindi, ang account ay hindi
magkaroon ng PIN (o hindi mababago ang kasalukuyang PIN).
-kasalukuyan
Ipakita ang kasalukuyang moving factor (ibig sabihin, ang counter value para sa HOTP o ang interval
halaga para sa TOTP) at inaasahang OTP para sa username. Para sa HOTP, advanced ang counter. Lahat
Ang mga parameter ay kinuha mula sa account.
-tanggalin
Tanggalin ang account para sa username. Secret key ng device at iba pang operational
mawawala ang mga parameter.
-delpin
Tanggalin ang PIN, kung mayroon, sa account para sa username, iniiwan ang account nang walang a
PINE.
-export
Sumulat ng impormasyon tungkol sa lahat ng account, o isang account lang kung username ay ibinigay, sa
stdout. Kung pipiliin ang isang mode, gayunpaman, ang mga account lang na may ganoong mode ang magiging
nakasulat. Maaaring i-reload ang impormasyong ito gamit ang -angkat or -import-palitan. Ang output
ay dapat na naka-imbak sa isang naka-encrypt na form, o sa pinakakaunti ay may mga pahintulot ng file nito
itakda nang naaangkop. Halimbawa:
% dacstoken -uj EXAMPLE -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Sa ibang pagkakataon, maaari kang gumawa ng isang bagay tulad ng:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj EXAMPLE -import -
-h
-tulong
Magpakita ng mensahe ng tulong at lumabas.
-hotp-show num
display num magkakasunod na HOTP password mula sa isang ibinigay na counter value at key. Ang
-kontra flag ay maaaring gamitin upang tukuyin ang isang paunang halaga ng counter. Ang susi ay maaaring
tinukoy gamit -susi, -susi-file, O -key-prompt. Kung ang username ay ibinigay, ang
ang paunang counter value at key ay nakuha mula sa HOTP account ng user, maliban kung alinman
ang halaga ay na-override sa command line; ang nakaimbak na counter value ng account ay hindi
binago. Ito ay pangunahing inilaan para sa mga layunin ng pag-debug.
-angkat filename
-import-palitan filename
I-load ang impormasyon ng account at token mula sa filename; kung filename ay "-", ang stdin ay nabasa.
Kung pipiliin ang isang mode, ang mga account lang na may ganoong mode ang mababasa. Sa -angkat ito ay
isang error kung mayroon nang na-import na account, at huminto ang pagproseso; -import-palitan
ay papalitan ang isang umiiral na account ng na-import na data.
-l
-Lista
-haba
If username ay ibinigay, ipakita ang impormasyon tungkol sa kaukulang account; kung ang
-serye flag ay ibinigay, ipakita ang impormasyon tungkol sa account na may tinukoy na serial
numero; kung hindi, ilista ang lahat ng mga account. Kung ang -mode ang bandila ay ibinibigay sa alinman sa mga kasong ito,
gayunpaman, ilista lamang ang mga account na may tinukoy na mode ng pagpapatakbo. Kung ito
flag ay paulit-ulit, o may -haba flag, higit pang detalye ang ipinapakita: uri ng device,
katayuan ng account, serial number ng device, counter value (para sa HOTP), clock drift value (para sa
TOTP), may PIN man o wala ang account (ipinapahiwatig ng isang "+" o "-" na simbolo), at
ang oras at petsa ng huling pagbabago ng account.
-palitan ang pangalan bagong pangalan
Palitan ang pangalan ng kasalukuyang account para sa username upang maging bagong pangalan, at baguhin ang bago
account gamit ang mga argumento ng command line (tulad ng -itakda[32]). Dahil nangangailangan ito ng dalawang hakbang
na hindi ginagawa nang atomically, kung may naganap na error posible para sa bagong account na
malikha at umiiral pa rin ang lumang account.
-itakda
Ang -itakda flag ay ginagamit upang baguhin ang umiiral na account para sa username batay sa isa o higit pa
mga argumento ng modifier (-base, -kontra, -mga digit, - huwag paganahin or -paganahin, -susi (O -susi-file
or -key-prompt), -pin (O -pin-file or -pin-prompt), o -serye). Ang mode ay maaari ding
binago sa pamamagitan ng pagtukoy -mode, ngunit ang mga parameter na partikular sa mode na nauugnay sa account
ay mawawala (hal., ang kasalukuyang counter value ay tatanggalin kung ang isang HOTP account ay
binago sa isang TOTP account) at ang mga pangkalahatang parameter (tulad ng serial number) ay magiging
pinanatili maliban kung na-override sa command line.
-sync listahan ng password
Sa HOTP mode, sinusubukan nitong i-synchronize ang server sa token para sa username. ang
listahan ng password ay isang listahan na pinaghihiwalay ng kuwit ng tatlong magkakasunod na password na ginawa ng
token ng user (ang "auto-synchronize" na function na ito ay available din sa pamamagitan ng
local_token_authenticate[3]). Ang ibinigay na sequence ay dapat tumugma sa computed sequence
tamang-tama, ibinigay ang mga parameter ng pagpapatakbo na may bisa; hal, ang mga nangungunang zero ay
makabuluhan, pati na ang display radix at bilang ng mga OTP digit na may bisa. Kung
Ang pag-synchronize ay matagumpay, ang user ay dapat na ma-authenticate gamit ang susunod
password na ginawa ng device. Isang kumpletong algorithm ng paghahanap gamit ang pagtaas
ginagamit ang mga counter value, na may limitasyon sa oras ng pag-compile sa maximum na bilang ng
mga pagkalkula. Magsisimula ang paghahanap sa kasalukuyang nakaimbak na counter value ng server, maliban kung
ang isa ay ibinigay gamit -kontra. Kung hindi matagumpay, maaaring tumagal ang operasyong ito
bago ito magwakas; dapat makipag-ugnayan ang user sa isang administrator para sa tulong.
Sa TOTP mode, subukang tukuyin kung gaano kalapit ang pagkaka-synchronize ng system clock
orasan ng token at ipakita ang resulta. Maaaring gamitin ang impormasyong ito upang i-update ang
rekord ng token ng user upang mabayaran ang hindi maayos na pagkaka-synchronize ng mga orasan, o upang ayusin
mga parameter ng pagpapatunay. Ang susi ng token at ang pangalan ng algorithm ng digest ay
nakuha para sa token record na pagmamay-ari username, kung ito ay ibinigay; kung hindi ang susi
ay sinenyasan at ang digest algorithm na gagamitin ay makukuha mula sa command
linya o ang default. Tanging ang unang password sa listahan ng password Ginagamit. Ang
-totp-timestep, -mga digit, at -totp-base Ang mga opsyon ay epektibo sa panahon ng operasyong ito.
-pagsusulit
Magsagawa ng ilang pagsusuri sa sarili, pagkatapos ay lumabas. Ang isang non-zero exit status ay nangangahulugan ng isang error na naganap.
-totp-palabas num
Magpakita ng pagkakasunod-sunod ng mga TOTP password gamit ang mga parameter na kasalukuyang may bisa:
laki ng pagitan (-totp-timestep), bilang ng mga digit (-mga digit), at base (-base). Ang
hindi binago ang mga nakaimbak na parameter ng account. Ito ay pangunahing inilaan para sa pag-debug
mga layunin.
Kung ang isang username ay ibinigay (dapat itong nauugnay sa isang TOTP device), ang susi at
iba pang mga naka-imbak na parameter mula sa account ay ginagamit maliban kung na-override ng command line
mga watawat. Ang pagkakasunud-sunod ng mga password para sa num agwat bago at pagkatapos ng kasalukuyang oras,
kasama ang password para sa kasalukuyang oras ay naka-print.
Kung hindi username ay ibinigay, ang programa ay nag-prompt para sa susi (na kung saan ay echoed) at ginagamit
mga flag ng command line o mga default na halaga para sa mga parameter. Pagkatapos ay naglalabas ito ng TOTP password
para sa kasalukuyang oras sa tuwing pinindot ang Return/Enter. Ang pag-type ng EOF ay nagdudulot kaagad
pagwawakas
-patunayan otp-value
If otp-value ay ang susunod na inaasahang isang beses na password, ibalik ang isang exit status na zero sa
ipahiwatig ang tagumpay; anumang iba pang halaga ay nagpapahiwatig ng pagkabigo. Kung username ay ibinigay, mga parameter
para sa pagpapatunay, kasama ang susi, ay nakuha mula sa account na iyon maliban kung na-override sa
ang command line. Ang estado ng server ay hindi nagbabago; hal, ang HOTP counter ay hindi
advanced. Kung hindi username ay ibinigay, ang -mode dapat gamitin ang flag at ang mga parameter
kinakailangan para sa mode na iyon ay dapat ibigay, kasama ang isang susi. Para sa HOTP mode, isang counter value
dapat ipagkaloob. Para sa TOTP mode, ang mga parameter ng command line ay epektibo sa panahong ito
pagpapatunay. dacstoken susubok kung otp-value nagpapatunay laban sa mga parameter sa
epekto.
Ang mga sumusunod na pagbabago naiintindihan ang mga flag:
-lahat
may -itakda at hindi username, ilapat ang mga pagbabago sa lahat mga account. Ito ay maaaring gamitin sa
paganahin o huwag paganahin ang lahat ng mga account, halimbawa. Ang -mga inkey at -mga outkey ang mga flag ay
pinarangalan. Kung may naganap na error, hihinto kaagad ang pagproseso, kung saan ilan lang
maaaring nabago ang mga account.
-base num
paggamit num bilang base (radix) kapag nagpapakita ng OTP. Ang halaga ng num ay pinaghihigpitan sa
10 (ang default), 16, O 32.
-kontra num
Ito ang 8-byte na HOTP counter value na itatakda, na ipinahayag bilang isang hex na halaga kung mauunahan ng
sa pamamagitan ng "0x" (o "0X"), kung hindi man ay decimal. Ang mga nangungunang zero ay maaaring alisin. Ito ay nagpapahiwatig ng HOTP
mode. Para sa mga token device, hindi dapat posibleng mag-reset ng counter (modulo counter
overflow) dahil magreresulta iyon sa pagkakasunod-sunod ng password na mauulit, sa pag-aakalang
na ang susi ay hindi nababago; Maaaring walang ganitong paghihigpit ang mga pagpapatupad ng software,
gayunpaman, kaya mag-ingat sa mga implikasyon sa seguridad.
-mga digit num
paggamit num digit kapag nagpapakita ng OTP. Ang halaga ng num ay pinaghihigpitan sa 6, 7, 8 (Ang
default), o 9 may base 10. Ito ay limitado sa 6 may base 32 at hindi pinapansin sa
base 16 (hex na output).
- huwag paganahin
Huwag paganahin ang account para sa username. ang local_token_authenticate modyul, at -auth at
-patunayan flags, ay hindi papayagan ang user na magpatotoo hanggang ang account ay nagawa
pinagana, kahit na ang iba pang mga operasyon ay maaari pa ring gawin sa account. Kung -paganahin
ay pagkatapos ay ginamit, ang account ay magiging magagamit para sa pagpapatunay at ay
naibalik sa estado nito sa oras na ito ay hindi pinagana. Ito ay hindi isang error upang hindi paganahin ang isang
na-disable na ang account.
-paganahin
Paganahin ang account para sa username. ang local_token_authenticate papayagan ng module ang
user upang patotohanan. Ito ay hindi isang error upang paganahin ang isang naka-enable na account.
-hotp-window num
Kung ang inaasahang HOTP password ay hindi tumugma sa ibinigay na password, subukang tumugma hanggang sa
num mga password pagkatapos ng inaasahang password sa pagkakasunud-sunod. Isang halaga ng zero para sa num
hindi pinapagana ang paghahanap na ito.
-mga inkey item_type
Para sa pag-decrypting ng mga lihim na susi, gamitin ang tindahan na kinilala ni item_type, siguro
na-configure sa dacs.conf.
-susi keyval
paggamit keyval bilang sikretong key, na ipinahayag bilang isang hex digit na string.
Katiwasayan
Ang pagbibigay ng susi sa command line ay hindi secure dahil maaari itong makita ng
iba pang mga proseso.
-susi-file filename
Basahin ang sikretong key, na ipinahayag bilang isang hex digit na string, mula sa filename. Kung filename is
"-", ang susi ay binabasa mula sa stdin.
-key-prompt
I-prompt ang secret key, na ipinahayag bilang isang hex digit na string. Ang input ay hindi echoed.
-mode otp-mode
Tinutukoy nito (case insensitively) ang uri ng token (ang OTP device mode) para sa paggamit
sa -itakda, -lumikha, at mga pagpapatakbo ng pagpapatunay at pag-synchronize. Ang otp-mode maaaring hindi
alinman sa counter o hotp para sa counter mode, o oras o totp para sa time-based na mode. Ito
kailangan ang flag kapag gumagawa ng bagong account.
-mga outkey item_type
Para sa pag-encrypt ng mga lihim na susi, gamitin ang tindahan na kinilala ni item_type, malamang na tinukoy
sa dacs.conf.
-pin pinval
paggamit pinval bilang sikretong PIN para sa account.
Katiwasayan
Ang pagbibigay ng PIN sa command line ay hindi secure dahil maaari itong makita ng
iba pang mga proseso.
-pin-constraints STR
Sa halip na gamitin PASSWORD_CONSTRAINTS[14], gamitin STR (na may parehong syntax at
semantics) upang ilarawan ang mga kinakailangan para sa isang PIN.
nota
Nalalapat ang mga kinakailangan para sa isang PIN sa mga PIN na nakuha sa pamamagitan ng flag ng command line at sa mga iyon
nakuha sa pamamagitan ng pag-import (gamit ang "p" attribute). Ang mga kinakailangan ay hindi
"retroactive", gayunpaman, kaya ang pagbabago ng mga kinakailangan ay hindi makakaapekto sa mga PIN ng
mga kasalukuyang account o mga account sa pag-import na dati nang na-export (pagkakaroon ng isang
"ph" na katangian).
-pin-file filename
Basahin ang lihim na PIN mula sa filename. Kung filename ay "-", ang PIN ay binabasa mula sa stdin.
-pin-prompt
Prompt para sa lihim na PIN. Ang input ay hindi echoed.
-rnd
Nakareserba para magamit sa hinaharap.
-binhi STR
Nakareserba para magamit sa hinaharap.
-serye STR
Ang serial number, STR, ay isang (parang) natatanging identifier na itinalaga sa token.
Ang pagpipiliang ito ay ginagamit kasama ng -itakda, -lumikha, at -Lista mga watawat. Isang serial number
kinikilala ang isang partikular na OTP device at hindi kailangang itago. Ang uniqueness property
ay ipinapatupad sa loob ng isang yunit ng imbakan ng uri ng item; ibig sabihin, mga serial number ng lahat ng HOTP
ang mga device ay dapat na natatangi, ang mga serial number ng lahat ng TOTP device ay dapat na natatangi, at kung
Ang mga account para sa dalawang uri ng device ay pinagsama, lahat ng serial number ng device ay dapat
kakaiba. Ang anumang napi-print na string ay tinatanggap. Kung ang isang software client ay bumubuo
password, maaari mong gamitin ang serial number ng device, o pumili ng anumang angkop na naglalarawan
hindi pa nakatalaga ang string sa isang device.
nota
Isang hurisdiksyon na nagbibigay-daan (o maaaring payagan sa huli) ang parehong mga token ng hardware at
Dapat isaalang-alang ng mga application ng kliyente na bumubuo ng software ang pagpapatibay ng isang pormal
scheme ng pagpapangalan para sa mga token nito. Halimbawa, maaaring idagdag ng administrator ang "-hw" sa
serial number ng vendor para mabuo ang dacstoken serial number. Para sa software
mga token, maaaring lumikha ang administrator ng isang dacstoken serial number sa pamamagitan ng pagdaragdag
"-sw" sa serial number ng vendor para sa device.
-totp-delta num
Ayusin ang base time sa pamamagitan ng num mga pagitan (bawat isa sa laki ng hakbang na bilang ng mga segundo) kapag
pag-compute ng TOTP. Ang num maaaring negatibo, sero, o positibo. Ito ay ginagamit upang itama
para sa hindi sapat na pagkaka-synchronize ng mga orasan.
-totp-drift nwindows
Para sa TOTP, gumamit ng laki ng window na nwindows (sa mga tuntunin ng laki ng pagitan) para sa
pagpapatunay. Kung nwindows is 0, ang nakalkulang halaga ng TOTP ay dapat tumugma sa ibinigay
eksakto. Kung nwindows is 1, Halimbawa, dacstoken susubukan na tumugma sa ibinigay na TOTP
halaga sa nakaraan, kasalukuyan, at susunod na mga pagitan. Pinapayagan nito ang mga orasan sa
tumatakbo ang sistema dacstoken (O local_token_authenticate) at device na gumagawa ng token sa
hindi gaanong naka-synchronize.
Katiwasayan
Bagama't binabayaran nito ang hindi maayos na pagkaka-synchronize na mga orasan, pinapataas ang halaga ng
nwindows nagpapahina sa system sa pamamagitan ng pagpapahaba ng buhay ng isang beses na password.
-totp-hash algae
paggamit algae bilang ang digest algorithm na may TOTP. Ang halaga ng algae ay limitado sa (case
insensitively) SHA1 (ang default), SHA256, o SHA512.
-totp-timestep tuyo
paggamit tuyo bilang laki ng agwat kapag nag-compute ng TOTP. Dapat itong mas malaki kaysa sa zero. Ang
ang default ay 30 segundo.
Katiwasayan
Bagama't binabayaran nito ang hindi maayos na pagkaka-synchronize na mga orasan, pinapataas ang halaga ng
tuyo nagpapahina sa system sa pamamagitan ng pagpapahaba ng buhay ng isang beses na password.
-vfs vfs_uri
paggamit vfs_uri upang i-override ang VFS[33] ang direktiba ng pagsasaayos ay may bisa. Ito ay maaaring
ginamit upang i-configure o muling i-configure ang auth_token, auth_hotp_token, o auth_totp_token sa
tukuyin ang paraan ng pag-iimbak para sa mga account na inaaksyunan.
Bukod sa mga mensahe ng error, na naka-print sa karaniwang error, ang lahat ng output ay napupunta sa
karaniwang output.
Karaniwan, a dacsoption ay tutukuyin upang piliin ang hurisdiksyon sa ngalan nito
ang mga account ay pinamamahalaan.
HALIMBAWA
Ipinapalagay ng mga halimbawang ito na ang pangalan ng hurisdiksyon na gagamitin ay EXAMPLE at ang pederasyon nito
ang domain ay example.com.
Upang magamit ang paraan ng pagpapatunay na ito, a Dacs maaaring gawin ng administrator ang mga sumusunod na hakbang
para sa bawat OTP device na itinalaga sa isang user:
1. Kumuha ng sinusuportahang token, suriin kung paano ito ginagamit para sa pagpapatunay, at pumili ng mga halaga
para sa iba't ibang mga parameter. Kunin ang sikretong key para sa device mula sa vendor; para sa
isang programmable device, pumili ng angkop na random key at i-program ito sa device.
Ang kasalukuyang mga halaga ng counter ay maaari ding makuha mula sa vendor, bagaman ito ay
malamang na masimulan sa zero; para sa isang programmable device, itakda ang counter value sa
sero. Magpasya kung kakailanganin ang isang PIN (tingnan TOKEN_REQUIRES_PIN[9]). Kung isang software
ginagamit ang kliyente, i-install ang software sa device ng user (o ipagawa sa user
kaya), at i-configure ang software.
2. Magpasya kung saan iimbak ang impormasyon ng account at, kung kinakailangan, magdagdag ng angkop
VFS[33] direktiba sa dacs.conf. Ang default (matatagpuan sa site.conf) ay nagpapanatili ng account
impormasyon sa isang file na pinangalanang auth_tokens sa loob ng default na pribado ng bawat hurisdiksyon
lugar:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_tokens"
3. Bumuo ng mga susi upang i-encrypt ang impormasyon ng account (tingnan Mga Token at lihim mga susi[34]) at
magpasya kung saan sila itatabi; halimbawa (iyong user ID, group ID, path,
pangalan ng hurisdiksyon, at domain ng pederasyon ay maaaring mag-iba):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Kung kinakailangan, magdagdag ng angkop VFS[33] direktiba sa dacs.conf; ang default, which is
ginamit sa itaas, pinapanatili ang impormasyon ng account sa isang file na pinangalanang auth_token_keys sa loob
default na pribadong lugar ng bawat hurisdiksyon:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_token_keys"
4. Kung kailangan mo ng mga user na mag-sign on dacs_authenticate(8)[2], dapat mong i-configure ang a
angkop na Auth clause sa dacs.conf, halimbawa:
URL na "token"
STYLE "pass"
KONTROL "sapat"
5. Mayroong ilang mga paraan na maaaring magpatuloy ang isang administrator, depende sa kung gaano karami
ang pagsisikap ay maaaring gawin ng mga gumagamit (hal., kung mapagkakatiwalaan sila, ang kanilang teknikal
kakayahan), kung gaano karaming mga gumagamit ang mayroon (ilan, o libu-libo), at ang antas ng seguridad
kinakailangan.
1. maghanda ng file na naglalaman ng isang XML talaan[35] para sa bawat account na gagawin; kung
Ang mga PIN ay gagamitin, magtalaga ng random na PIN sa bawat account;
2. gamitin ang -angkat[36] bandila upang lumikha ng mga account;
3. ibigay ang token device, username, at (kung kinakailangan) paunang PIN sa user
(marahil ay nagpapatunay ng pagkakakilanlan), nagbibigay ng anumang kinakailangang pagpapakita at
mga tagubilin;
4. itakda o i-reset sa user ang PIN para sa account, at hilingin sa user na mag-sign on
gamit ang token upang kumpirmahin ang tamang operasyon.
Upang gumawa ng hindi pinaganang account para sa bobo ng user para sa isang HOTP device:
% dacstoken -uj EXAMPLE -mode hotp -serial 37000752 -key-file bobo.key -lumikha ng bobo
Ang lihim na susi para sa account (na dapat ay hindi pa umiiral) ay binabasa mula sa file
bobo.key. Ang mga bagong account ay hindi pinagana bilang default; gamitin -paganahin upang lumikha ng isang pinaganang account.
Kapag nalikha na ang isang account, maaari itong i-synchronize sa token. Upang i-synchronize
ang HOTP token para sa user bobo:
% dacstoken -uj EXAMPLE -sync 433268,894121,615120 bobo
Sa halimbawang ito, ginawa ng partikular na token ang tatlong magkakasunod na password 433268,
894121, at 615120. Tandaan na ang string ng sequence ng password na sumusunod sa -sync bandila ay
isang argumento na hindi maaaring magkaroon ng anumang naka-embed na mga puwang. Kung ang susi para sa token na ito ay
19c0a3519a89b4a8034c5b9306db, ang susunod na password na nabuo ng token na ito ay dapat na 544323
(na may counter value 13). Maaari itong ma-verify gamit ang -hotp-show:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Upang paganahin ang account para sa bobo ng user:
% dacstoken -uj EXAMPLE -paganahin -set bobo
Upang parehong itakda ang PIN at paganahin ang account para sa bobo ng user:
% dacstoken -uj EXAMPLE -paganahin -pin "CzAy" -set bobo
Upang ilista ang lahat ng mga account nang detalyado:
% dacstoken -uj EXAMPLE -mahaba
Ang -Lista Ang flag ay kalabisan dahil ito ang default na operasyon. Ang -mode, -kontra, Atbp
walang epekto ang mga modifier kapag naglilista.
Upang ilista lamang ang account para sa bobo:
% dacstoken -uj HALIMBAWA -list bobo
Ang exit status ay magiging non-zero kung ang user na ito ay walang account.
Upang ipakita ang account para sa device na may serial number 37000752:
% dacstoken -uj EXAMPLE -serial 37000752
Ang serial number, na dapat natatanging makilala ang isang token, ay madalas na naka-print sa token
o maaaring ipakita sa pamamagitan ng token.
Para itakda ang counter value para sa kasalukuyang account ng bobo:
% dacstoken -uj EXAMPLE -counter 9 -set bobo
Maaaring gamitin ang operasyong ito para sa pagsubok o sa isang token ng software. Ang -sync ang operasyon ay
mas angkop para sa isang token ng hardware.
Para baguhin ang PIN para sa username bobo:
% dacstoken -uj EXAMPLE -pin-prompt -set bobo
Ang programa ay mag-prompt para sa bagong PIN.
Upang gumamit ng kahaliling file ng account, /secure/auth_tokens:
% dacstoken -uj EXAMPLE -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
Upang gumamit ng mga bagong key (gumawa ng parehong mga pagpapalagay tulad ng naunang), magdagdag ng angkop na direktiba ng VFS sa
dacs.conf; ang default ay tumutukoy sa uri ng item na auth_token_keys_prev tulad ng sumusunod:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXAMPLE -inkeys auth_token_keys.prev -set
DIAGNOSTICS
Ang programa ay lalabas sa 0, o 1 kung may naganap na error.
Gumamit ng dacstoken online gamit ang mga serbisyo ng onworks.net
