Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen dacsauth komutudur.
Program:
ADI
dacsauth - kimlik doğrulama kontrolü
SİNOPSİS
dacsauth [-m kimlik doğrulama modülü özelliği] [...] [-r roller-modül-spec] [...] [-DDirektifler=değer]
[-e]
[-fj isim] [-fn federal isim] [-h | -Yardım] [-İD] [-LL log_level]
[-p şifre]
[-pf dosya] [-çabuk] [-q] [{-u | -kullanicitarafindanolusturulmus} kullanıcı adı] [-v]
dacsauth-modülleri
TANIM
Bu programın bir parçası DACS süit.
The dacsauth yardımcı program, verilen kimlik doğrulama materyalinin kimlik doğrulamasını karşılayıp karşılamadığını test eder
gereksinimleri ve sürecin çıkış durumu aracılığıyla sonucu gösterir. Benzer
dacs_authenticate(8)[1] ve dascred(1)[2].
dacsauth komut dosyalarının ve diğer programların DACS kimlik doğrulama
altyapı. Başarılı kimlik doğrulamayı kaba bir biçim olarak kullanabilirler.
yetki; yalnızca doğru bir parola sağlayan bir kullanıcının çalıştırmasına izin verilebilir.
programı mesela. Veya başarılı olduktan sonra bir tür kimlik bilgisi döndürebilirler.
kimlik doğrulama veya belki dacs_auth_agent(8)[3] dönmek DACS kimlik bilgileri.
dacsauth belirli bir kullanıcıyla ilişkili rol bilgilerini almak için de kullanılabilir.
dacsauth hiçbirini okumaz DACS yapılandırma dosyaları. Testi gerçekleştirmek için gereken her şey
argüman olarak belirtilmelidir.
Bahşiş
If dacsauth kimlik doğrulaması gerçekleştirmek veya rolleri aramak için yerleşik bir modül kullanır, yok hayır
sunucu bileşen is gereklidir. Bu, kullanabileceğiniz anlamına gelir dacsauth zorunda kalmadan
Apache dahil bir web sunucusuna erişin ve hatta yapılandırın.
SEÇENEKLER
Aşağıdaki komut satırı bayrakları tanınır. En az bir -m bayrak (gerçekleştirmek için
kimlik doğrulama testi) veya en az bir -r bayrak belirtilmelidir (bir rol oluşturmak için
kimlik için tanımlayıcı dize ve stdout'a yazdırın). Her iki bayrağın bir kombinasyonu
izin verilir, bu durumda bir rol tanımlayıcı dizesi yalnızca kimlik doğrulama testi
başarılı
-DDirektifler=değer
Bu ayara eşdeğerdir Direktifler, genel DACS yapılandırma yönergesi,
değer. Görmek dacs.conf(5)[4].
-e
tarafından sağlanan bir sonraki dize -p, -pfya da -çabuk bayrak değeri olacaktır
YARDIMCI kimlik doğrulama argümanı. Bu, hassas geçiş için güvenli bir yol sağlar
PIN gibi yardımcı bilgileri programa gönderir. Şifreyi almak için bir bayrak,
varsa, komut satırında bu bayraktan önce gelmelidir.
-fj isim
kullanım isim, yargı adı olarak sözdizimsel olarak geçerli olması gerekir. Eğer istenirse
ancak sağlanmazsa, ana bilgisayarın alan adından türetilen bir değer kullanılacaktır.
-fn federal isim
kullanım federal isim, federasyon adı olarak sözdizimsel olarak geçerli olması gerekir. Eğer istenirse
ancak sağlanmazsa, ana bilgisayarın alan adından türetilen bir değer kullanılacaktır.
-h
-Yardım
Bir yardım mesajı görüntüleyin ve çıkın.
-İD
Başarılı olursa, kimliği doğrulanmış belgeyi yazdırın DACS standart çıktıya kimlik.
-LL log_level
Hata ayıklama çıktı seviyesini şuna ayarlayın: log_level (görmek dacs(1)[5]). Varsayılan seviye
uyarmak.
-m kimlik doğrulama modülü özelliği
Gerekli olan her bir kimlik doğrulama testi türü, bir kimlik doğrulama modülü özelliği
bunu hemen takip eden -m bayrak. Her biri kimlik doğrulama modülü özelliği aslında bir
alternatif temsili auth fıkra[6] ve tarafından kullanılan direktifleri
dacs_authenticate(8)[1]. Tıpkı Auth yan tümcelerinin bir DACS
yapılandırma dosyası, hangi sırayla -m bayrakların görünmesi önemli olabilir,
bağlı olarak kontrol anahtar kelimeler. İşleme sırasında ardışık -m bileşenler
otomatik olarak atanan adlar, auth_module_1, auth_module_2, vb.
hata raporlama amaçları.
An kimlik doğrulama modülü özelliği aşağıdaki sözdizimine sahiptir:
The modül yerleşik bir modülün adıyla veya geçerli bir kısaltmayla başlar
veya harici bir kimlik doğrulama modülünün (mutlak) URL'si (eşdeğer
the URL[7] direktif). Sonraki, tanınan bir kimlik doğrulama stili anahtar sözcüğü görünmelidir
belirteci (eşdeğer STİL[8] direktif). Daha sonra, kontrol anahtar kelime takip eder,
hangisi ile aynıdır KONTROL[9] Auth yan tümcesindeki yönerge. Sonra kontrol
anahtar kelime, aşağıda açıklanan işaretler herhangi bir sırayla gelebilir.
An kimlik doğrulama modülü özelliği ilk geçersiz bayrak (veya bayrakların sonu) olduğunda sona erer
karşılaştı.
The -O bayrak bir eşdeğerdir SEÇENEK[10] direktif.
The -İle ilgili flag'i, okunacak dosyanın adı olan bir argüman takip eder.
seçenekler, her satıra bir, biçimde isim=değer. İle başlayan boş satırlar ve satırlar
bir '#' yoksayılır; bu satırların "-O" ile başlamadığını ve tırnak işaretlerinin yalnızca
kopyalanmaz ve yorumlanmaz. bu -İle ilgili şifreleri koymaktan kaçınmak için bayrak kullanılabilir
komut satırı ve aksi takdirde olması gereken ifadeleri yazmayı kolaylaştırır
örneğin, kabuk tarafından yorumlanmasını önlemek için dikkatli bir şekilde kaçılmalıdır.
The -ifade bayrak eşdeğerdir EXPR[11] direktif. bu -vfs bayrak kullanılır
yapılandırmak vfs[12] bu modülün gerektirdiği direktifler.
-modüller
Her satırda bir tane olacak şekilde yerleşik kimlik doğrulama modüllerinin ve rol modüllerinin bir listesini görüntüleyin ve
sonra çıkış yapın. Kurallı modül adı yazdırılır, ardından sıfır veya daha fazla eşdeğeri gelir
kısaltmalar. Kimlik doğrulama modülleri için kimlik doğrulama stili gösterilir. Listeye
mevcut modüller, şu komutu çalıştırın:
% dacsauth -modülleri
Kullanılabilir (etkin) yerleşik kimlik doğrulama ve rol modülleri kümesi belirlenir
ne zaman DACS inşa edildi.
-p şifre
Kullanılacak parolayı belirtin (eşdeğer ŞİFRE argüman
dacs_authenticate).
Güvenlik
Komut satırında verilen bir parola aynı ağdaki diğer kullanıcılar tarafından görülebilir.
sistem.
-pf dosya
kullanmak için şifreyi okuyun dosya ( ŞİFRE argüman
dacs_authenticate). eğer dosya "-" ise şifre standart girişten okunur
sormadan.
-çabuk
Parolayı isteyin ve stdin'den okuyun ( ŞİFRE argüman
dacs_authenticate). Şifre yankılanmaz.
-q
Hata ayıklama çıktı düzeyini azaltarak daha sessiz olun.
-r rol-modül-özelliği
için roller kullanıcı adı hemen verilen bu bayrağın verilmesiyle belirlenebilir.
bir ardından roller-modül-spec. -r bayrak tekrarlanabilir ve ortaya çıkan roller
birleştirildi. Her biri roller-modül-spec esasen alternatif bir temsilidir
tarafından kullanılan roller yan tümcesi dacs_authenticate(8)[13]. ardışık -r bileşenler
atanan adlar, roller_module_1, roller_module_2 vb., esas olarak hata raporlaması için
amaçlar.
A roller-modül-spec aşağıdaki sözdizimine sahiptir:
The modül bileşen, Roller yan tümcesine eşdeğerdir URL[14] direktif ve
ya kullanılabilir bir yerleşik rol modülünün adı, bunun geçerli bir kısaltması,
veya harici roller modülünün (mutlak) URL'si.
Bayraklar takip edebilir modül bileşen, herhangi bir sırayla. A roller-modül-spec ne zaman biter
ilk geçersiz bayrakla (veya bayrakların sonuyla) karşılaşılır.
The -O bayrak bir eşdeğerdir SEÇENEK[10] direktif.
The -İle ilgili flag'i, okunacak dosyanın adı olan bir argüman takip eder.
seçenekler, her satıra bir, biçimde isim=değer. İle başlayan boş satırlar ve satırlar
bir '#' yoksayılır; bu satırların "-O" ile başlamadığını ve tırnak işaretlerinin yalnızca
kopyalanmaz ve yorumlanmaz. bu -İle ilgili şifreleri koymaktan kaçınmak için bayrak kullanılabilir
komut satırı ve aksi takdirde olması gereken ifadeleri yazmayı kolaylaştırır
örneğin, kabuk tarafından yorumlanmasını önlemek için dikkatli bir şekilde kaçılmalıdır.
The -ifade bayrak eşdeğerdir EXPR[11] direktif. bu -vfs bayrak kullanılır
yapılandırmak vfs[12] tarafından gerekli görülen direktifler modül.
-u kullanıcı adı
-kullanicitarafindanolusturulmus kullanıcı adı
Kimliği doğrulanacak kullanıcı adı (eşdeğer KULLANICI ADI argüman
dacs_authenticate). Bu kullanıcı adı, dolaylı olarak etkin
federasyon ve yargı yetkisi (bkz. -fn[15] ve -fj[16] bayraklar).
-v
The -v bayrağı, hata ayıklama çıktı düzeyini hata ayıklamak veya (tekrarlanırsa) izlemek için yükseltir.
ÖRNEKLER
Güvenlik
If dacsauth kimlik doğrulaması gerçekleştirmek için yerleşik bir modül kullanır, setuid veya
gerekli şifre dosyasına erişmek için yeterli ayrıcalıkları elde etmek için setgid (aynı
yerleşik rol modülleri için geçerlidir). Harici bir modül kullanıyorsa, o modül
erişmek için yeterli ayrıcalıklarla yürütmeniz gerekir DACS kriptografik anahtarlar,
özellikle federation_keys ve muhtemelen DACS veya sistem parolası dosyaları; dış
modülün daha sonra herhangi bir dosyaya erişmek için yeterli ayrıcalıklarla yürütülmesi gerekecektir.
gerektirir.
Federasyonunuz için doğru olan federation_keys'i kullandığınızdan emin olun. referans
iki veya daha fazla federasyondaki kimlik doğrulama modülleri muhtemelen çalışmayacaktır.
dacsauth bu nedenle normalde onu çağıran kullanıcının UID'si olarak çalışmamalıdır.
(bu root olmadıkça) çünkü bilgiye erişemeyecek
gerektirir. Bu aynı zamanda bir kullanıcının "hile yapmasını" da önleyecektir (örn.
bir hata ayıklayıcı ile çalışan modül).
Bu örnek, "bobo" kullanıcısının kimliğini "test" parolasıyla doğrular. DACS şifre dosyası
/usr/yerel/dacs/conf/şifre:
% dacsauth -m passwd passwd gerekli
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p testi
Komutun çıkış durumu sıfırsa, kimlik doğrulama testi başarılı oldu, aksi takdirde
başarısız oldu.
Aşağıdaki örnek, Unix parola dosyasına karşı "bobo" kimliğini doğrulamaya çalışır. bu
program şifre ister.
% dacsauth -m unix şifresi gerekli -u bobo -istem
Bir sonraki örnekte, dacsauth üzerinde NTLM aracılığıyla "bobo" kimliğini doğrulamaya çalışır
sarıcılar.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Bu örnek, harici bir kimlik doğrulama modülü dışında bir öncekine benzer.
kullanılır ve şifre bir dosyadan okunur. Harici modül nedeniyle, ek
yapılandırma sağlanmalıdır; özellikle, federation_keys'in konumu ve
federasyon ve yetki adları belirtilmelidir.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd yeterli -OSAMBA_SERVER="winders.example.com" \
-fn ÖRNEĞİ -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
karşı kimlik doğrulaması yapmak için Google[17] hesap [e-posta korumalı], biri şunları kullanabilir:
% dacsauth -m http şifresi suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=E-posta -OPASSWORD_PARAMETER=Parola \
-Oservice=xapi -Osource=DSS-DACS-1.4 -istem -u [e-posta korumalı]
Aşağıdaki örnekte, kimlik doğrulamanın yapılıp yapılmadığını belirlemek için bir ifade değerlendirilir.
başarılı olmalı. Kullanıcıdan ("bobo") bir parola istenir. Yalnızca "foo" dizesi
verilen kimlik doğrulama başarılı olacaktır. Daha gerçekçi bir örnek, başka bir programı çağırabilir.
örneğin, belirlemeye yardımcı olur.
% dacsauth -m ifade ifadesi yeterli \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
Apache'ye karşı kimlik doğrulama özet şifre dosyası aşağıdaki gerçekleştirilir
örneğin, parolanın stdin'den okunduğu yer:
% yankı "test" | dacsauth -m apache özeti yeterli \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_DOSYA=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="DACS Özet Yetkilendirme Alanı" \
-u bobo -pf-
PAM modülü aracılığıyla kimlik doğrulama, diğer modüllerden farklı çalışır - ve daha fazlasıdır.
kullanımı karmaşık - çünkü dacsauth bağlı olarak birkaç kez çalıştırılması gerekebilir.
PAM'ın gerektirdiği bilgiler. Evet/hayır kararı vermek yerine, dacsauth yazdırabilir
stdout'a daha fazla bilgi ister. Lütfen şu bölümde sunulan operasyonel ayrıntıları inceleyin:
dacs_authenticate(8)[18] ve PAMD(8)[19] bu modülü kullanmaya çalışmadan önce.
Aşağıdaki örnek, modülün komut satırından kullanımını gösterir. Bir kez temel
fikirler anlaşıldıysa, işlemi gerçekleştirmek için bir komut dosyasının nasıl yazılacağı açık olmalıdır.
gerekli yinelemeler Örnekteki yollar gibi ayrıntıların aşağıdakiler için ayarlanması gerekebilir.
senin çevren. Bu örnekte kullanıcı adının ilk kez belirtilmediğine dikkat edin.
dacsauth çalıştırılır, ancak biliniyorsa olabilirdi.
% dacsauth -m pam yeterli oldu\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=yerel ana bilgisayar -OPAMD_PORT=dacs-pamd -fj ÖRNEK -fn TEST
AUTH_PROMPT_VAR1="Giriş:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam yeterli oldu\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Şifre:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam yeterli oldu\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="bir şifre" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
İlk defa dacsauth örnekte çalıştırıldığında, kullanıcı adı için bir istem döndürür
işlem değişkeniyle ilişkili ("Giriş:") AUTH_PROMPT_VAR1 ve
işlem tanımlayıcısı (AUTH_TRANSID). İkincisi sonrakine aktarılmalıdır.
infazları dacsauth. ikinci koşusu dacsauth kullanıcı adını ("bobo") geçer ve
işlem değişkeniyle ilişkili başka bir bilgi istemi ("Parola:") döndürür
AUTH_PROMPT_VAR2. Üçüncü çalıştırma parolayı ("apassword") iletir, ancak herhangi bir istem olmaz
döndürülür ve oturumun tamamlandığını ve programın çıkış durumunu gösterir.
kimlik doğrulamanın sonucu.
Bahşiş
Olup olmadığını dacsauth rolleri almak için bir parola gerektirir, belirli rollere bağlıdır
modül kullanılıyor. Örneğin, bir parola gerekli değildir local_unix_roles[20] veya
yerel_roller[21] rol almak için, ancak local_ldap_roles[22] muhtemelen bir
dizine bağlanmak ve rol almak için parola.
Bu örnek, yerleşik olarak çağırarak "bobo" kullanıcısı için rol dizesini yazdırır.
local_unix_roles[20] modül:
% dacsauth -r unix -u bobo
bobo,tekerlek,www,kullanıcılar
Sonraki örnek, harici roller modülünün kullanılması dışında bir öncekine benzer:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ÖRNEĞİ -u bobo
bobo,tekerlek,www,kullanıcılar
Harici roller modülü, çalışandan farklı bir ana bilgisayarda yürütülebilir
dacsauth. Tedarik edilen dacsauth yüklendi ve eşleşen bir federation_keys dosyası
yerel ana bilgisayarda mevcutsa, yerel ana bilgisayarın bir DACS yargı yetkisi veya herhangi bir
diğer DACS konfigürasyonu.
Aşağıdaki örnek yazdırır rol dizi[23] içinde bilinen "bobo" kullanıcısı için
(harici) kullanarak "Bobo Baggins" Ortak Adına sahip dizin local_ldap_roles[22]
modül ve "doğrudan" bağlama yöntemi:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ÖRNEĞİ -fj FEDROOT -istem
DnsAdmins,Print_Operators,Domain_Admins,Yöneticiler
Komut satırına kolayca ve doğru bir şekilde yerleştirilecek çok fazla bayrak olduğundan,
Bunu yapmak için gereken seçenekler, tarafından belirtilen bir dosyadan okunur. -İle ilgili bayrağı.
Bu aynı zamanda programa parolaları iletmek için daha güvenli bir yol sağlar; erişimi sağlamak
dosyaya uygun şekilde sınırlandırılmıştır. Dosya
/usr/local/dacs/ldap_roles_options_direct aşağıdaki gibi bir yapılandırma içerebilir:
LDAP_BIND_METHOD=doğrudan
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . ",CN=Kullanıcılar,DC=örnek,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Aşağıdaki örnek, "dolaylı" bağlamayı kullanması dışında öncekine benzer.
yöntemidir ve bu nedenle kullanıcının Ortak Adının verilmesine gerek yoktur:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
- /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ÖRNEĞİ -fj FEDROOT -p bobosparola
DnsAdmins,Print_Operators,Domain_Admins,Yöneticiler
/usr/local/dacs/ldap_roles_options_indirect dosyası aşağıdaki gibi yapılandırma içerebilir:
bu:
LDAP_BIND_METHOD=dolaylı
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Yönetici,CN=Kullanıcılar,DC=example,DC=com
# Kullanıcılar altında ara...
LDAP_SEARCH_ROOT_DN=CN=Kullanıcılar,DC=örnek,DC=com
LDAP_ADMIN_PASSWORD=GizliYöneticiParolası
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Diyelim ki biri kullanmak istedi dacsauth LDAP aracılığıyla bir kullanıcının kimliğini doğrulamak için
bu dacs.conf yapılandırması:
URL"http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STİL "şifre,add_roles"
KONTROL "gerekli"
LDAP_BIND_METHOD "doğrudan"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Kullanıcılar,dc=örnek,dc=yerel"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
Bunun gibi bir dosya (örneğin, /usr/local/dacs/ldap_auth_options_direct) şunları içerir:
aşağıdaki direktifler:
LDAP_BIND_METHOD=doğrudan
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Kullanıcılar,dc=örnek,dc=yerel"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Kimlik doğrulama daha sonra aşağıdaki gibi bir komut kullanılarak gerçekleştirilebilir:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd yeterli \
- /usr/local/dacs/ldap_auth_options_direct'ten \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ÖRNEĞİ -u bobo -istem
TANI
Program, kimlik doğrulama başarılıysa 0'dan veya kimlik doğrulama başarısız olursa 1'den çıkar veya
bir hata oluştu.
onworks.net hizmetlerini kullanarak dacsauth'u çevrimiçi kullanın
