dacstoken - Bulutta Çevrimiçi

Program:

ADI

dacstoken - karma tabanlı tek seferlik parolaları yönetin

SİNOPSİS

dacstoken [dacsoptions[1]] [-herşey] [-Base num] [-sayacı num] [-rakamlar num]
[devre dışı bırakılabilir | -etkinleştirme] [-hotp penceresi num] [-inkeyler öğe türü]
[[-tuşu anahtar] | [-Anahtar dosya Dosya] | [-anahtar istemi]] [biçem otp modu]
[-çıkış tuşları öğe türü]
[[-Pin pinval] | [-pin dosyası Dosya] | [-pin istemi]] [-pin kısıtlamaları str]
[-rd] [-tohum str] [-seri str] [-totp-delta num] [-totp-sürüklenme Pencereler]
[-totp-hash alg]
[-totp-zaman adımı saniye] [-vfs vfs_uri] [operasyon özellikleri] [kullanıcı adı]

TANIM

Bu programın bir parçası DACS süit.

The dacstoken yardımcı program yöneticileri DACS tek kullanımlık parola (OTP) ile ilişkili hesaplar
üreten cihazlar ( token kazanabilirsiniz.) veya yazılım tabanlı istemciler. Komut satırı seçeneklerini kullanarak, aynı zamanda
OTP değerlerini hesaplar; jeton hesabı parametreleri geçersiz kılınabilir, ancak hesaplar eşit değildir
gereklidir.

Güçlü, iki faktörlü kimlik doğrulama şu durumlarda sağlanabilir: dacs_authenticate[2] yapılandırıldı
kullanmak local_token_authenticate[3] kimlik doğrulama modülü veya ne zaman dacstoken Olarak kullanılır
şifreleri doğrulamak için bağımsız bir program. Hem HMAC tabanlı tek seferlik şifre modu
(HOTP), bir olay sayacına dayalı ve tarafından belirtilen RFC 4226[4] ve zamana dayalı
tarafından belirtildiği gibi tek seferlik şifre modu (TOTP) son IETF İnternet-Taslak[5] öneri,
Desteklenmektedir. Ek işletme modları[6] OCRA (YEMİN Meydan Okuma-Yanıt
Algoritmalar), bir IETF İnternet Taslağında açıklanan, henüz tam olarak desteklenmemektedir.

not
Bu sürüm dacstoken geriye dönük uyumlu olmayan birçok değişikliği içerir
1.4.24a ve önceki sürümlerle. Bazı komut satırı bayrakları farklı işlev görür ve
hesap dosyasının biçimi değişti. Bu komutu daha önce kullandıysanız
yayınlar, lütfen belirteç hesap dosyanızın yedek bir kopyasını alın ve bu kılavuzu inceleyin
Devam etmeden önce dikkatlice sayfayı -dönüştürmek özellikle bayrak[7]).

Hatırlatma
Satıcı tarafından sağlanan hiçbir yazılım gerekli değildir. dacstoken işlevselliğini sağlamak. bu
şu anda desteklenen cihazlar herhangi bir kayıt veya yapılandırma etkileşimi gerektirmez
satıcılarla ve dacstoken yok değil etkileşim ile satıcılar sunucular or kullanım herhangi
özel yazılım. gerçekleştirmek için satıcı tarafından sağlanan yazılım gerekebilir.
ancak, diğer belirteç aygıtları için başlatma veya yapılandırma ve dacstoken yok
onlara böyle bir destek sağlamaz.

Her jeton cihazı, genellikle, tarafından yönetilen tam olarak bir hesaba karşılık gelir.
dacstoken, bazı satıcılar birden fazla hesabı destekleyebilen belirteçler üretse de.

Özetlemek gerekirse, bu yardımcı program:

· oluşturur ve yönetir DACS sayaç tabanlı ve zamana dayalı ile ilişkili hesaplar
bir defalık şifreler

· doğrulama ve test etme işlevselliği sağlar

· bir komut satırı kimlik doğrulama özelliği sağlar

Güvenlik
Sadece DACS yönetici bu programı başarıyla çalıştırabilmelidir.
Komut satırı. Çünkü DACS için kullanılan dosya da dahil olmak üzere anahtarlar ve yapılandırma dosyaları
mağaza hesapları, yöneticiyle sınırlandırılmalıdır, bu normalde
durumda, ancak dikkatli bir yönetici, tüm erişimleri reddetmek için dosya izinlerini ayarlayacaktır.
diğer kullanıcılar.

not
The dacs_token(8)[8] web hizmeti, kullanıcılara sınırlı self-servis sağlar
hesap PIN'lerini ayarlamak veya sıfırlamak ve jetonlarını senkronize etmek için işlevsellik. Ayrıca
test ve değerlendirmeyi basitleştirmek için bir gösteri modu vardır.

PIN (Hesap Şifreler)
A dacstoken hesap isteğe bağlı olarak kendisiyle ilişkilendirilmiş bir PIN'e (yani bir parola) sahip olabilir. İle
böyle bir hesaba karşı kimlik doğrulaması yapmak için, bir kullanıcı üretilen tek seferlik şifreyi sağlamalıdır.
jetonla ve PIN'i. bu TOKEN_REQUIRES_PIN[9] yapılandırma yönergesi belirler
bir hesap oluştururken veya içe aktarırken bir PIN'in verilmesi gerekip gerekmediği; içinde geçerli değil
ile birlikte -delpin bayrak, çünkü yalnızca bir yönetici gerçekleştirebilmelidir
o işlev.

PIN'in bir karması, PIN'in kendisi yerine hesap kaydında saklanır. Aynısı
tarafından kullanılan yöntem dacspasswd(1)[10] ve dacs_passwd(8)[11] uygulanır ve şuna bağlıdır:
ŞİFRE_DIGEST[12] ve ŞİFRE_SALT_PREFIX[13] direktifler yürürlüktedir. Eğer
ŞİFRE_DIGEST[12] yapılandırıldı, bu algoritma kullanıldı, aksi takdirde bir derleme zamanı
varsayılan (SHA1) kullanılır. Bir kullanıcı PIN'i unutursa, eskisi kurtarılamaz, bu nedenle
ya silinmeli ya da yenisi ayarlanmalıdır.

Bazı belirteç aygıtlarında yerleşik bir PIN özelliği bulunur. Kullanıcı bir PIN girmelidir
cihazdan önce cihaz tek seferlik bir şifre yayacaktır. Bu "cihaz PIN'i"
tarafından yönetilen hesap PIN'inden tamamen farklı dacstokenve bu kılavuz
sadece konuyla ilgili dacstoken TOPLU İĞNE. Cihaz PIN'i mümkün olduğunda her zaman kullanılmalıdır;
the dacstoken PIN şiddetle tavsiye edilir ve iki faktörlü kimlik doğrulama için gereklidir
(başka bir şekilde ek bir kimlik doğrulama faktörü uygulanmadıkça).

Bu komutu yalnızca yöneticinin çalıştırmasına izin verildiğinden, herhangi bir kısıtlama uygulanmaz.
yöneticinin sağladığı PIN'lerin uzunluğu veya kalitesi hakkında; bir uyarı mesajı
tarafından belirlendiği üzere parolanın zayıf olduğu düşünülürse, yayılacaktır.
PASSWORD_CONSTRAINTS[14] direktif.

Bir kere şifreleri
Her iki tür tek kullanımlık parola aygıtı, güvenli bir parola kullanarak bir parola değeri hesaplar.
anahtarlı karma algoritma (RFC 2104[15] FIPS'ler 198[16]). Sayaç tabanlı yöntemde, cihaz
ve sunucu, sayısal bir sonuç elde etmek için özetlenen bir gizli anahtarı ve bir sayaç değerini paylaşır.
belirli sayıda basamakla belirli bir tabanda görüntülenen değer. Başarılı
kimlik doğrulama, aygıtın ve sunucunun eşleşen parolaları hesaplamasını gerektirir. her seferinde
cihaz bir şifre üretir, sayacını arttırır. Sunucu bir eşleşme aldığında
parola, sayacını artırır. Çünkü iki sayacın olması mümkündür.
senkronize edilmemişse, sunucunun eşleştirme algoritması tipik olarak bir müşterinin parolasına izin verir
sayaç değerlerinin bir "penceresine" girmek. Zamana dayalı yöntem benzerdir, ana
fark, geçerli Unix zamanının (tarafından döndürüldüğü gibi) olmasıdır. zaman(3)[17], örneğin)
hesaplamada bir sayaç değeri olarak hizmet eden bir "zaman adımı penceresi" oluşturmak için kullanılır
güvenli karma. Çünkü cihazdaki ve sunucudaki gerçek zamanlı saatler,
yeterince senkronize edilmişse, sunucunun eşleştirme algoritması da bir istemcinin
Bu aygıtlar için belirli sayıda zaman adımı penceresine girecek parola.

Güvenlik
Bir belirteç, kalıcı bir gizli anahtar (bazen OTP tohumu olarak adlandırılır) tarafından atanabilir.
üretici veya anahtar programlanabilir olabilir. Bu gizli anahtar, belirteç tarafından kullanılır.
şifre oluşturma prosedürü ve gizli tutulması çok önemlidir. eğer belirteç
programlanamaz, anahtar satıcıdan alınır (bir HOTP belirteci için, tipik olarak
cihazın seri numarasını ve ardışık üç parolayı sağlayarak). Rekor
seri numarasından gizli anahtara kadar her eşlemenin güvenli bir yerde tutulması gerekir.

Gizli anahtar, bir yazılım istemcisinde olması muhtemel olduğu gibi programlanabilirse,
en az olması gerekli 128 bit uzunluğunda; en az 160 bit tavsiye edilir.
key, 16 (veya daha fazla) karakter uzunluğunda onaltılık bir dize ile temsil edilir. anahtar
rastgele bitlerin kriptografik kalitede bir kaynağından elde edilebilir. Bazı müşteriler olabilir
uygun bir anahtar üretebilir, ancak kullanabilirsiniz dacsexpr(1)[18]:

% dacsexpr -e "rastgele(dize, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"

Bahşiş
Belirteçler, bilgisayar oturum açma dışında kimlik doğrulama amaçları için kullanılabilir. İçin
örneğin, bir hesap numarası, PIN ve belirteç değeri sağlayarak müşteriler hızlı bir şekilde
telefon üzerinden kimlik doğrulaması yapılması, pahalı ve
zaman alan güvenlik soruları.

Tek kullanımlık şifre cihazları ve uygulamaları aşağıdaki operasyonel parametrelere sahiptir.
Bu parametreler, oluşturulan parola sırasını belirler. Bazı operasyonel
parametreler (ilgili standart veya uygulama nedeniyle) sabitlenebilirken,
diğerleri kullanıcı tarafından kısmen veya tamamen yapılandırılabilir. Lütfen
ayrıntılar için referanslar ve üreticilerin belgeleri.

baz
Parolaların görüntülendiği sayı tabanı.

karşı
Yalnızca HOTP modu için geçerli sayaç değeri.

basamak
Her bir tek kullanımlık şifredeki basamak sayısı.

anahtar
Gizli anahtar (OTP tohumu).

seri numarası
Aygıt için benzersiz bir tanımlayıcı veya ad.

zaman adımı boyutu
Yalnızca TOTP modu için, her zaman aralığının saniye cinsinden genişliği. aynı şifre
belirli bir aralık içinde oluşturulacak; yani, bu "ömür boyu" veya geçerliliğidir
her TOTP şifresinin periyodu.

Bu parametrelere ek olarak, dacstoken hesap başına birkaç tane kullanır (yani, cihaz başına)
parametreleri:

kabul penceresi
Bir HOTP parolasını doğrularken, parolanın ardından dikkate alınması gereken maksimum parola sayısı
beklenen şifre

sürüklenme
Yalnızca TOTP modu için, sunucu saatinin ayarlanacağı saniye sayısı
cihazla daha iyi senkronize etmek için ileri veya geri Bu kullanılır
saatleri iyi senkronize edilmemiş jetonları veya istemci yazılımını telafi etmek
sunucunun.

sürüklenme penceresi
Yalnızca TOTP modu için, ancak kabul penceresine benzer şekilde, maksimum
doğrulama sırasında ileri ve geri arama yapmak için aralıklar (zaman adımı boyutunun her biri)
verilen bir şifreye karşı.

senkronizasyon-otps
Yalnızca HOTP modu için, gerekli ardışık tek seferlik parola sayısı
hesabı cihazla senkronize edin.

kullanıcı adı
Adı DACS cihaza bağlı hesap.

Tek kullanımlık şifre cihazlarına dayalı kimlik doğrulama aşağıdaki avantajlara sahiptir:

· Bir kullanıcının kimliğini her doğruladığında, farklı bir parola oluşturulur (yüksek
olasılık); kullanıcılar bu nedenle "şifreyi" not edemezler çünkü şifre
sürekli değişim; kullanıcılar şifrelerini unutamazlar;

· HOTP modu parolası bir kez kullanıldığında hemen "tüketilir" ve kullanılması pek olası değildir
yine uzun süre; uygun konfigürasyon parametreleri ile bir TOTP modu şifresi
nispeten kısa bir zaman aralığında otomatik olarak "süresi sona erer" ve olması muhtemel değildir.
uzun süre tekrar kullanıldı;

· Saat kayması için düzeltme gerekmiyorsa, bir TOTP modu hesabı salt okunur olabilir
operasyon;

· Parolanın kolayca tahmin edilebilecek bir sayı veya dizi olma olasılığı düşük olduğundan,
kullanıcı tarafından seçilen çoğu paroladan daha güçlü olun;

· Bir HOTP belirteci, karşılıklı ("çift yönlü") bir kimlik doğrulama yönteminin temeli olabilir; en
sunucu, kimliğini doğrulamak için kullanıcıya belirtecinin bir sonraki şifresini gösterir (her ikisi ile
taraflar sayaçlarını ilerletir), ardından istemci sunucuya bir sonraki şifreyi gösterir
kimliğini doğrulamak için;

· Kullanıcının bilgisayarında bir anahtar dinleyicisi yüklüyse, koklanan bir parola
bir saldırgana herhangi bir iyilik yapmadıkça man-in-the-middle saldırı[19] mümkündür; verilen N
ardışık şifreler, şifreyi hesaplamak hala çok zor N + 1 olmadan
gizli anahtarı bilmek;

· Kullanıcıların bir hesabı paylaşması daha zordur (ancak kullanıcılar bazen
bunu bir rahatsızlık olarak görün);

· Eğer bir dacstoken Bir hesaba PIN atanır ve saldırgan hesabın şifresini alır.
belirteç, saldırganın PIN'i bilmeden kimlik doğrulaması yapması hala zordur;

· Bir hesabı devre dışı bırakmanın hızlı ve anında etkili bir yolu, bir hesabı ele geçirmektir.
donanım belirteci (örneğin, bir çalışanın kovulması durumunda), ancak bir hesap şu şekilde devre dışı bırakılabilir:
Bu programı kullanarak veya iptal liste[20];

· Telefon veya PDA gibi bir mobil cihazda çalışan bir yazılım istemcisi olması durumunda,
kullanıcılar cihazı zaten yanlarında taşıyorlar; ücretsiz istemciler mevcuttur, yani orada
ek bir ücret olmayabilir (mobil cihazların aynı şeyi sunmayabileceğini unutmayın).
bir donanım belirtecinin kurcalamaya karşı dayanıklılık, dayanıklılık, anahtar gizliliği, saat doğruluğu vb.)

Tek seferlik şifre cihazları aşağıdaki potansiyel dezavantajlara sahiptir:

· Bir donanım jetonu için tek seferlik bir masraf vardır (satın alma hacmine bağlı olarak,
her biri için $10-100 USD ödemeyi bekleyebilirsiniz) ve
kaybolan veya bozulan jetonu veya jetonun pilini değiştirin (bazı birimlerde
değiştirilemeyen pil, birkaç yıl sonra atılabilir hale getirir);

· İlk yapılandırma, diğer kimlik doğrulamadan biraz daha zordur
yöntemler ve cihazlara aşina olmayan kullanıcılar, cihazları hakkında bilgilendirilmelidir.
kullanım;

· Tipik olarak oldukça küçük olmalarına rağmen (örneğin, 5cm x 2cm x 1cm) ve eklenebilirler.
bir anahtarlık veya kordon veya bir cüzdanda tutulduğunda, kullanıcılar bir jeton taşımak zorunda kaldıklarında ürkebilir
onlarla birlikte;

· Kullanıcılar jetonlarını yanlarında bulundurmayı unutabilir veya jetonlarını kaybedebilir;

· Bir mobil cihaz (yazılım istemcisi olan) muhtemelen hırsızlık için olası bir hedeftir, daha fazlası
bir donanım belirtecinden çok (bu nedenle bu cihaz için bir PIN'in ekstra önemi);

· Anahtarın erişilemez, kurcalamaya karşı korumalı olarak yazıldığı bir donanım belirtecinin aksine
bellek, bir yazılım istemcisinde yapılandırılan anahtarın, muhtemelen
sahibi, hesabın paylaşılmasını mümkün kılmak;

· Bir mobil cihaza 40 karakter veya daha uzun bir başlangıç ​​değeri girmek sinir bozucu olabilir
ve hataya eğilimli;

· Bir TOTP cihazı bir kez şifre oluşturduğunda, yeni bir şifre oluşturulamaz.
kullanıcının 30 (veya muhtemelen 60) saniye beklemesini gerektiren bir sonraki zaman adımı penceresi (örn.
bir giriş hatası yapılırsa);

· Bazı cihazların düşük ışık koşullarında okunması zordur; presbiyopik kullanıcılar ve
görme bozukluğu olan kişiler ekranı okumakta zorluk çekebilir.

Hesaplar
tarafından yönetilen hesaplar dacstoken tarafından kullanılan hesaplardan tamamen ayrıdır.
local_passwd_authenticate[21] veya başka DACS kimlik doğrulama modülü.

HOTP ve TOTP cihazlarının hesapları birleştirilebilir veya ayrı tutulabilir. sanal ise
filestore öğe türü auth_hotp_token tanımlanır, yalnızca ilişkili hesaplar için kullanılır
HOTP belirteçleri ile. Benzer şekilde, sanal dosya deposu öğe türü auth_totp_token
tanımlı, yalnızca TOTP belirteçleriyle ilişkili hesaplar için kullanılır. Her iki öğe türü de
tanımlı değil, hesaplara erişim DACS'ler öğe türünü kullanan sanal dosya deposu
auth_token. Hesap veritabanlarındaki dosya izinlerinin, tüm
erişim yönetici ile sınırlıdır ve local_token_authenticate.

İki cihaz türü için hesaplar kombine, çünkü her kullanıcı adı için bir
kimlik doğrulama yöntemi benzersiz olmalıdır, bir kişinin her iki belirteç türü de varsa,
farklı kullanıcı adları atanabilir. Örneğin, Auggie'nin bir HOTP jetonu ve bir
TOTP belirteci, ilki auggie-hotp kullanıcı adına ve ikincisi
auggie-top; oturum açma formu, Auggie'ye izin verecek bir cihaz modu girişi içerebilir.
kullanıcı adı alanına basitçe "auggie" yazın ve otomatik olarak eklemek için JavaScript
seçilen cihaz moduna göre uygun son ek. Bunun bariz bir dezavantajı
yapılandırma, iki farklı sonuçla sonuçlanmasıdır. DACS aynı kişi için kimlikler;
Auggie'yi tanımlamak için bir erişim kontrol kuralı gerekiyorsa bunun hatırlanması gerekirdi.
açıkça. Her iki belirteç de aynı şekilde eşleşmeliyse DACS kimlik, Auth yan tümcesi
başarılı kimlik doğrulamadan sonra son eki kaldırın, ancak yönetici daha sonra
her biri farklı bir cihaz türü kullanan iki farklı Auggies durumuna dikkat etmeniz gerekir.

Hem auth_hotp_token hem de auth_totp_token öğe türlerini (veya bunlardan yalnızca birini) yapılandırma
ve auth_token) hesapları ayrı tutar ve aynı kullanıcı adının aşağıdakiler için kullanılmasına izin verir.
her iki cihaz türü. Auggie bu nedenle aynı hesap kaydına sahip olabilir.
her iki cihaz türü için kullanıcı adı. Bu yaklaşım, cihaz modunun belirtilmesini gerektirir
doğru öğe türünün kullanılabilmesi için bir işlem istendiğinde; bunun anlamı şudur ki
kullanıcılar ne tür bir cihaz kullandıklarını bilmelidir (belki de bir etiket yapıştırarak).
ile ilgili önemli ayrıntılara bakın. DACS kimlikler[22].

The -vfs auth_token öğe türünü yapılandırmak veya yeniden yapılandırmak için kullanılır.

Yalnızca minimum anahtar uzunluğu gereksinimini karşılayan anahtarlar (16 bayt) ile saklanabilir
hesap bilgileri (örn. -Ayarlamak or -içe aktarmak). Diğer bağlamlarda, gereklilik
uygulanmadı.

Gizli anahtar tarafından şifrelenir dacstoken hesap dosyasına yazıldığında. bu
sanal dosya deposu öğe türü auth_token_keys için şifreleme anahtarlarını tanımlar dacstoken
kullanmak; en -inkeyler ve -çıkış tuşları bayraklar alternatifleri belirtir (bkz. dacskey(1)[23]). Eğer
şifreleme anahtarları kaybolur, gizli anahtarlar pratik olarak kurtarılamaz.

Hatırlatma
Saldırgan gizli bir anahtar keşfederse, sahip olmadan kullanılabilir parolalar üretir.
jeton zor olmayacak. En azından bazı donanım belirteçleri için anahtar yakılır
cihazda ve değiştirilemez; bu durumda, anahtar sızdırılırsa cihaz
yok edilmelidir. Bir jeton kaybolursa, ilgili hesap devre dışı bırakılmalıdır.
Saldırganın kayıp bir jeton bulması veya güçlü bir
Hesapla ilişkili PIN, saldırganın para kazanmasını zorlaştıracaktır.
erişim.

Hatırlatma
· Bu kimlik doğrulama yöntemi, aşağıdaki OTP ürünlerine karşı test edilmiştir:

· authenex Anahtar 3600[24] tek kullanımlık parola (HOTP) donanım belirteci;

· Feitian Teknolojileri[25] OTP C100 ve OTP C200 tek kullanımlık şifre donanımı
tarafından sağlanan belirteçler hiper güvenlik Bilgi Sistemler[26]; ve

· YEMİN Simge[27] her ikisini de uygulayan Archie Cobbs'un yazılım uygulaması
üzerinde HOTP ve TOTP iPod Dokunma, iPhone, ve iPad[28].

· Feitian Teknolojileri Yemin Lite[29] iPod için HOTP yazılım uygulaması
Dokunma, iPhone ve iPad.

Ürünlerinin aşağıdakiler tarafından desteklenmesiyle ilgilenen diğer üreticiler DACS vardır
Dss ile iletişime geçmekten memnuniyet duyarız.

· Fotoğraf[30]: Feitian OTP C200, OATH Token uygulamasına sahip iPod Touch, Authenex A-Key
3600 (sol üstten saat yönünde)

· Bu uygulamanın benzer, uyumlu ürünlerle çalışması gerekmesine rağmen, yalnızca
bu ürünler resmi olarak desteklenmektedir. DACS.

· Donanım jetonları doğrudan satıcılardan satın alınabilir.

· Kimlik doğrulama için belirteçlerin kullanılmasıyla ilgili herhangi bir sorun DACS değiller
token satıcısının sorumluluğundadır.

İçe ve İhracat OTP Hesaplar
Hesapların açıklamaları ve jetonları yüklenebilir veya boşaltılabilir (bkz. -içe aktarmak
ve -ihracat bayraklar). Bu, toplu tedarik, yedekleme ve taşınabilirliği basitleştirir. bu
hesap bilgileri basit, uygulamaya özel (neredeyse) bir XML biçiminde yazılır.

tarafından anlaşılan biçim dacstoken bir kök öğeden ("otp_tokens") oluşur, ardından
sıfır veya daha fazla "otp_token" öğesi, satır başına bir tane, her biri gerekli ve isteğe bağlı
nitelikler (aşağıda açıklanmıştır). XML bildirimi atlanmalıdır. Önde gelen boşluk ve
boş satırlar, tek satırlık XML yorumları gibi yok sayılır. Ek olarak, "#" olan satırlar
ilk boşluk olmayan karakter yok sayılır. Olmayan isteğe bağlı özellikler
mevcut varsayılan değerler atanır. Varsayılan özet algoritması SHA1'dir. Kısa öznitelik
İsimler yer kazanmak için kullanılır. Tanınmayan nitelikler ve konuyla ilgisi olmayan nitelikler
cihaz modu, yoksayılır. XML özniteliği içinde tek veya çift tırnak karakterleri (veya her ikisi)
değerler, karşılık gelen varlık referansı ("'" ve """ ile değiştirilmelidir,
sırasıyla), "<" (küçüktür) ve "&" (ve işareti) karakterlerinin olması gerektiği gibi. Bir ">" (daha büyük
than) karakteri isteğe bağlı olarak bir ">" dizisi ile değiştirilebilir, ancak başka bir varlık olamaz
referanslar tanınır.

Tanınan nitelikler şunlardır:

· B:
baz
-- OTP değeri için sayı tabanı
[İsteğe bağlı:
10 (Varsayılan)
16ya da 32]

· C:
karşı
-- HOTP için geçerli sayaç değeri, önceden verilmişse onaltılı olarak
"0x" (veya "0X") ile, aksi takdirde ondalık
[İsteğe bağlı:
varsayılan 0]

· D:
OTP cihaz kip
-- "c" (HOTP için)
veya "t" (TOTP için)
[Gereklidir]

· bilgi:
özet-adı
-- Güvenli Karma Algoritmalardan biri
[İsteğe bağlı:
SHA1 (varsayılan),
SHA224, SHA256,
SHA384, SHA512]

· doktor:
saat kayması
-- TOTP için saniye cinsinden saat ayarı
[İsteğe bağlı]

· örneğin:
şifreli anahtar
-- şifreli gizli anahtar, base-64 kodlu
[Gerekli:
Yalnızca OTP hesap kayıtları]

· tr:
etkin durum
-- 1 etkin için,
0 engelliler için
[Gereklidir]

· k:
düz metin anahtarı
-- şifrelenmemiş gizli anahtar
[Gereklidir]

· lu:
son Güncelleme
-- Son kayıt güncellemesinin Unix zamanı
[İsteğe bağlı: varsayılan geçerli saattir]

· not:
rakamlar
-- OTP değeri için basamak sayısı
[İsteğe bağlı:
varsayılan 6 HOTP için,
8 TOTP için]

· P:
düz metin-PIN
-- hesap için düz metin PIN değeri
[Gerekli:
ph yoksa,
yalnızca içe aktarma için]

· telefon numarası:
karma PIN
-- hesap için karma PIN değeri
[İsteğe bağlı:
tarafından oluşturuldu dacstoken
yalnızca dışa aktarma ve OTP hesap dosyaları için]

· S:
seri numarası
-- cihaz için benzersiz tanımlayıcı dize
[Gereklidir]

· t:
zaman adımı
-- TOTP için saniye cinsinden zaman adımı değeri
[İsteğe bağlı:
varsayılan 30]

· sen:
kullanıcı adı
-- geçerli DACS bu hesapla ilişkili kullanıcı adı
[Gereklidir]

Aşağıdaki örnek, kullanılarak oluşturulabilecek iki hesabı açıklamaktadır. -içe aktarmak bayrak:







Güvenlik
İçe aktarılan kayıtlar, OTP cihazları için şifrelenmemiş gizli anahtarları içerdiğinden,
dışa aktarılan dosya şifreli tutulmalıdır (örn. openssl) veya en azından sahip
uygun dosya izinleri.

not
OTP cihaz provizyonu için standart bir format geliştirilmektedir. Bu biçim olabilir
gelecekteki bir versiyonu tarafından anlaşıldı dacstoken, veya bir dönüştürme yardımcı programı yazılabilir.
Standart formatın, muhtemelen, standart formattan çok daha karmaşık olması muhtemeldir. DACS biçimi.

SEÇENEKLER

Standarda ek olarak dacsoptions[1], komut satırı bayraklarının uzun bir listesi
tanındı. Zaman kullanıcı adı verildiğinde, o hesapla ilişkili varsayılan değerler
aksi takdirde önerilen veya uygulamaya özel varsayılanlar kullanılır. Bunlar varsayılan
değerler genellikle komut satırında geçersiz kılınabilir. Bazı bayraklara yalnızca bir
belirli belirteç modu (örn. -sayacı, -top-göster) ve görünümleri bu modu ima eder,
yapmak biçem gereksiz bayrak; diğer bayraklar moddan bağımsızdır (örn. -sil,
-etkinleştirme). Karşılıklı uyumsuz bir bayrak kombinasyonu kullanmak bir hatadır. olan bayraklar
yine de bir modu ima etseler de, seçilen işlemle anlamsızdır.
Onaltılık değerler büyük/küçük harfe duyarsızdır. Bir sayaç değeri gerekli ancak belirtilmemişse
(örneğin, bir hesap oluştururken), sıfır başlangıç ​​sayaç değeri kullanılır.

The operasyon özellikleri sıfır veya daha fazla ile birlikte gerçekleştirilecek işlemi belirtir niteleyici
bayraklar. Eğer operasyon özellikleri eksik, -liste operasyon gerçekleştirilir. Bir operasyon özellikleri biridir
Aşağıdaki:

-yetki otp-değeri
Bu bayrak sanki -doğrulamak[31], hariç:

· A kullanıcı adı tüm parametrelerin elde edildiği (anahtar gibi) gereklidir;

· hesabın bir PIN kodu varsa, bu sağlanmalıdır;

· hesap bir HOTP belirteci içinse, kimlik doğrulama yapılırsa sayaç güncellenecektir.
başarılı

Sıfır çıkış durumu, başarılı kimlik doğrulamasını gösterirken, diğer herhangi bir değer
kimlik doğrulamanın başarısız olduğu anlamına gelir.

-dönüştürmek Dosya
Daha eski bir formatta (1.4.25 yayımlanmadan önce) token hesabı dosyasını şuradan yükleyin: Dosya ("-"
stdin'den okumak anlamına gelir), daha yeni biçime dönüştürün ve stdout'a yazın (olarak
by -ihracat). Bu bayrak kullanımdan kaldırıldı ve bu özellik gelecekte kaldırılacak
serbest bırakılması DACS.

-oluşturmak
için bir hesap oluşturun kullanıcı adı, ki zaten var olmamalıdır. diğer açılardan o
gibi çalışır -Ayarlamak[32]. Yeni bir hesap oluştururken, -seri gereklidir ve -tuşu is
ima edildi. Eğer hayırsa -etkinleştirme hesap oluştururken bayrak sağlanır, devre dışı bırakılabilir ima edilir.
Eğer hayırsa -sayacı bayrak sağlanmışsa, varsayılan olarak sıfır kullanılır. PIN işaretlerinden biri
mevcutsa, verilen PIN hesaba atanacaktır, aksi takdirde hesap
bir PIN'iniz var (veya mevcut PIN değiştirilmeyecek).

-akım
Geçerli hareket faktörünü görüntüleyin (yani, HOTP için sayaç değeri veya aralık
TOTP için değer) ve beklenen OTP için kullanıcı adı. HOTP için sayaç ileri düzeydedir. Herşey
parametreler hesaptan alınır.

-sil
için hesabı sil kullanıcı adı. Cihazın gizli anahtarı ve diğer operasyonel
parametreler kaybolacaktır.

-delpin
Varsa, hesaptaki PIN'i silin. kullanıcı adı, hesabı bırakmadan
TOPLU İĞNE.

-ihracat
Tüm hesaplar hakkında bilgi yazın veya varsa yalnızca bir hesap kullanıcı adı verilir,
standart. Ancak bir mod seçilirse, yalnızca o moda sahip hesaplar
yazılı. Bu bilgiler kullanılarak yeniden yüklenebilir -içe aktarmak or -içe aktar-değiştir. Çıktı
şifreli bir biçimde saklanmalı veya en azından dosya izinlerine sahip olmalıdır
uygun şekilde ayarlayın. Örneğin:

% dacstoken -uj ÖRNEK -ihracat | openssl enc -aes-256-cbc > dacstoken-exported.enc

Daha sonra şöyle bir şey yapabilirsiniz:

% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj ÖRNEK -import -

-h
-Yardım
Bir yardım mesajı görüntüleyin ve çıkın.

-hotp-gösteri num
ekran num belirli bir sayaç değeri ve anahtarından ardışık HOTP şifreleri. bu
-sayacı flag bir ilk sayaç değeri belirtmek için kullanılabilir. anahtar olabilir
kullanılarak belirtilen -tuşu, -Anahtar dosyaya da -anahtar istemi. Eğer bir kullanıcı adı sağlanır,
ilk sayaç değeri ve anahtarı, aşağıdakilerden biri olmadıkça, kullanıcının HOTP hesabından alınır.
değer komut satırında geçersiz kılınır; hesabın saklanan sayaç değeri değil
değiştirilmiş. Bu, esas olarak hata ayıklama amaçlıdır.

-içe aktarmak Dosya
-içe aktar-değiştir Dosya
Hesap ve jeton bilgilerini şuradan yükleyin: Dosya; Eğer Dosya "-" ise stdin okunur.
Bir mod seçilirse, sadece o moda sahip hesaplar okunacaktır. İle -içe aktarmak bu
içe aktarılan bir hesap zaten varsa ve işleme durursa bir hata; -içe aktar-değiştir
mevcut bir hesabı içe aktarılan verilerle değiştirir.

-l
-liste
-uzun
If kullanıcı adı sağlanır, ilgili hesapla ilgili bilgileri görüntüler; Eğer
-seri bayrak verilir, belirtilen seri ile hesap hakkında bilgi görüntüler
numara; aksi takdirde tüm hesapları listeleyin. Eğer biçem Bu durumlardan herhangi birinde bayrak verilir,
ancak, yalnızca belirtilen çalışma moduna sahip hesapları listeleyin. Eğer bu
bayrağı tekrarlanır veya -uzun bayrak, daha fazla ayrıntı görüntülenir: cihaz tipi,
hesap durumu, cihaz seri numarası, sayaç değeri (HOTP için), saat kayma değeri (için
TOTP), hesabın bir PIN'ine sahip olup olmadığı ("+" veya "-" sembolü ile gösterilir) ve
hesabın son değişikliğinin saati ve tarihi.

-Adını değiştirmek yeni kullanıcı adı
için mevcut hesabı yeniden adlandırın kullanıcı adı olduğu yeni kullanıcı adıve yenisini değiştirin
komut satırı argümanlarını kullanan hesap (olduğu gibi -Ayarlamak[32]). Bu iki adım gerektirdiğinden
atomik olarak yapılmaz, bir hata oluşursa yeni hesabın
oluşturulacak ve eski hesap hala var olacak.

-Ayarlamak
The -Ayarlamak bayrağı için mevcut hesabı değiştirmek için kullanılır kullanıcı adı bir veya daha fazlasına dayalı
değiştirici argümanlar (-Base, -sayacı, -rakamlar, devre dışı bırakılabilir or -etkinleştirme, -tuşu (Ya da -Anahtar dosya
or -anahtar istemi), -Pin (Ya da -pin dosyası or -pin istemi) veya -seri). mod da olabilir
belirterek değiştirildi biçem, ancak hesapla ilişkili moda özgü parametreler
kaybolur (örneğin, bir HOTP hesabı varsa mevcut sayaç değeri silinir).
TOTP hesabı olarak değiştirildi) ve genel parametreler (seri numarası gibi)
komut satırında geçersiz kılınmadıkça korunur.

-senkronizasyon şifre listesi
HOTP modunda, bu, sunucuyu belirteç ile senkronize etmeye çalışır. kullanıcı adı.
şifre listesi tarafından üretilen ardışık üç parolanın virgülle ayrılmış bir listesidir.
kullanıcının belirteci (bu "otomatik senkronizasyon" işlevi ayrıca
local_token_authenticate[3]). Verilen dizi, hesaplanan diziyle eşleşmelidir
kesinlikle, yürürlükteki operasyonel parametreler göz önüne alındığında; örneğin, baştaki sıfırlar
geçerli OTP basamaklarının görüntü yarıçapı ve sayısı gibi önemlidir. Eğer
senkronizasyon başarılıysa, kullanıcı bir sonrakini kullanarak kimlik doğrulaması yapabilmelidir.
cihaz tarafından üretilen şifre. Artan kullanarak kapsamlı bir arama algoritması
maksimum sayıda derleme zamanı sınırı ile sayaç değerleri kullanılır.
hesaplamalar. Arama, sunucunun halihazırda depolanmış olan sayaç değerinden başlar.
bir kullanılarak sağlanır -sayacı. Başarısız olursa, bu işlem uzun sürebilir
sona ermeden önce; kullanıcı yardım için bir yöneticiye başvurmalıdır.

TOTP modunda, sistem saatinin ne kadar yakın senkronize olduğunu belirlemeye çalışın.
jetonun saati ve sonucu görüntüler. Bu bilgiler güncellemek için kullanılabilir.
Kötü senkronize edilmiş saatleri telafi etmek veya ayarlamak için kullanıcının belirteç kaydı
doğrulama parametreleri. Belirtecin anahtarı ve özet algoritmasının adı
ait token kaydı için elde edilen kullanıcı adı, verilirse; aksi halde anahtar
istenir ve kullanılacak özet algoritması ya komuttan elde edilir
satır veya varsayılan. Sadece ilk şifre şifre listesi kullanıldı.
-totp-zaman adımı, -rakamlar, ve -top-taban seçenekler bu işlem sırasında etkilidir.

-test
Bazı kendi kendine testler yapın, ardından çıkın. Sıfır olmayan bir çıkış durumu, bir hata oluştuğu anlamına gelir.

-top-göster num
Halihazırda yürürlükte olan parametreleri kullanarak bir dizi TOTP şifresi görüntüleyin:
aralık boyutu (-totp-zaman adımı), Basamak sayısı (-rakamlar) ve taban (-Base.)
hesabın saklanan parametreleri değiştirilmez. Bu, esas olarak hata ayıklama için tasarlanmıştır
amaçlar.

Eğer bir kullanıcı adı sağlanır (bir TOTP cihazı ile ilişkilendirilmelidir), anahtar ve
hesaptaki diğer saklanan parametreler, komut satırı tarafından geçersiz kılınmadıkça kullanılır
bayraklar. için şifrelerin sırası num geçerli saatten önceki ve sonraki aralıklar,
geçerli saat için şifre ile birlikte yazdırılır.

Eğer hayırsa kullanıcı adı verildiğinde, program anahtarı ister (yankılanır) ve kullanır
parametreler için komut satırı bayrakları veya varsayılan değerler. Daha sonra TOTP şifresini yayar
Geri Dön/Giriş tuşuna her basıldığında geçerli zaman için. EOF yazmak anında neden olur
sonlandırma.

-doğrulamak otp-değeri
If otp-değeri bir sonraki beklenen tek seferlik paroladır, sıfır çıkış durumunu
başarıyı belirtmek; başka herhangi bir değer başarısızlığı gösterir. Eğer kullanıcı adı verilen parametreler
anahtar da dahil olmak üzere doğrulama için, geçersiz kılınmadıkça bu hesaptan alınır.
komut satırı. Sunucunun durumu değişmez; örneğin, bir HOTP sayacı
ileri. Eğer hayırsa kullanıcı adı verilir, biçem bayrak kullanılmalı ve parametreler
o mod için gerekli bir anahtar dahil verilmelidir. HOTP modu için bir sayaç değeri
sağlanmalı. TOTP modu için, komut satırı parametreleri bu sırada etkilidir.
doğrulama. dacstoken olup olmadığını test edecek otp-değeri parametrelere karşı doğrular
etkisi.

Aşağıdaki niteleyici bayraklar anlaşılır:

-herşey
İle -Ayarlamak ve hayır kullanıcı adı, değişiklikleri uygula herşey hesaplar. Bu kullanılabilir
örneğin tüm hesapları etkinleştirin veya devre dışı bırakın. bu -inkeyler ve -çıkış tuşları bayraklar
onur. Bir hata oluşursa işleme hemen durur, bu durumda yalnızca bazı
hesaplar değiştirilmiş olabilir.

-Base num
kullanım num bir OTP görüntülerken taban (radix) olarak. Değeri num ile kısıtlı
10 (varsayılan), 16ya da 32.

-sayacı num
Bu, ayarlanacak 8 baytlık HOTP sayaç değeridir ve öncesinde
"0x" (veya "0X") ile, aksi takdirde ondalık. Baştaki sıfırlar atlanabilir. Bu HOTP anlamına gelir
modu. Belirteçli cihazlar için, bir sayacı sıfırlamak mümkün olmamalıdır (modulo sayacı
taşma) çünkü bu, varsayarsak, parola dizisinin tekrarlanmasına neden olacaktır.
anahtarın değişmediğini; yazılım uygulamaları bu kısıtlamaya sahip olmayabilir,
ancak, bu nedenle güvenlik etkilerine dikkat edin.

-rakamlar num
kullanım num bir OTP görüntülerken rakamlar. Değeri num ile kısıtlı 6, 7, 8 (
varsayılan) veya 9 taban ile 10. Şununla sınırlıdır: 6 taban ile 32 ve ile göz ardı edilir
baz 16 (onaltılık çıktı).

devre dışı bırakılabilir
Hesabı devre dışı bırak kullanıcı adı. local_token_authenticate modül ve -yetki ve
-doğrulamak bayraklar, hesap kapatılana kadar kullanıcının kimliğini doğrulamasına izin vermez.
etkin, ancak hesapta başka işlemler gerçekleştirilebilir. Eğer -etkinleştirme
daha sonra kullanılırsa, hesap kimlik doğrulama için kullanılabilir hale gelir ve
devre dışı bırakıldığı andaki durumuna geri yüklenir. devre dışı bırakmak bir hata değildir.
zaten devre dışı bırakılmış hesap.

-etkinleştirme
için hesabı etkinleştir kullanıcı adı. local_token_authenticate modül izin verecek
Kullanıcının kimliğini doğrulamak için. Zaten etkinleştirilmiş bir hesabı etkinleştirmek bir hata değildir.

-hotp penceresi num
Beklenen HOTP parolası verilen parolayla eşleşmiyorsa,
num Sırada beklenen şifreden sonra şifreler. için sıfır değeri num
bu aramayı devre dışı bırakır.

-inkeyler öğe türü
Gizli anahtarların şifresini çözmek için, tarafından tanımlanan mağazayı kullanın. öğe türü, muhtemelen
dacs.conf'ta yapılandırıldı.

-tuşu anahtar
kullanım anahtar gizli anahtar olarak, onaltılık basamaklı bir dize olarak ifade edilir.

Güvenlik
Komut satırında bir anahtar sağlamak güvenli değildir, çünkü bu anahtar tarafından görülebilir.
diğer süreçler.

-Anahtar dosya Dosya
Onaltılık basamaklı bir dize olarak ifade edilen gizli anahtarı şuradan okuyun: Dosya. Eğer Dosya is
"-", anahtar stdin'den okunur.

-anahtar istemi
Onaltılık basamaklı bir dize olarak ifade edilen gizli anahtarı sor. Giriş yankılanmaz.

biçem otp modu
Bu, kullanım için belirteç türünü (OTP cihaz modu) (büyük/küçük harfe duyarlı olmadan) belirtir.
ile -Ayarlamak, -oluşturmak, ve doğrulama ve senkronizasyon işlemleri. bu otp modu olabilir
sayaç modu için sayaç veya hotp veya zamana dayalı mod için time veya totp. Bu
Yeni bir hesap oluştururken bayrak gereklidir.

-çıkış tuşları öğe türü
Gizli anahtarları şifrelemek için, tarafından tanımlanan mağazayı kullanın. öğe türü, muhtemelen tanımlanmış
dacs.conf'ta.

-Pin pinval
kullanım pinval hesabın gizli PIN'i olarak.

Güvenlik
Komut satırında bir PIN sağlamak güvenli değildir, çünkü kullanıcılar tarafından görülebilir.
diğer süreçler.

-pin kısıtlamaları str
Kullanmak yerine PASSWORD_CONSTRAINTS[14], kullan str (aynı sözdizimine sahip ve
semantik) bir PIN gereksinimlerini açıklamak için.

not
PIN gereksinimleri, bir komut satırı bayrağı aracılığıyla elde edilen PIN'ler için geçerlidir.
içe aktarma yoluyla elde edilir ("p" özniteliği kullanılarak). Gereksinimler
Ancak "geriye dönük", bu nedenle gereksinimlerin değiştirilmesi, kullanıcıların PIN'lerini etkilemez.
mevcut hesaplar veya daha önce dışa aktarılmış hesapları içe aktarma (bir
"ph" özelliği).

-pin dosyası Dosya
Gizli PIN'i şu adresten okuyun: Dosya. Eğer Dosya "-" ise, PIN stdin'den okunur.

-pin istemi
Gizli PIN'i sor. Giriş yankılanmaz.

-rd
Gelecekte kullanılmak üzere rezerve edilmiştir.

-tohum str
Gelecekte kullanılmak üzere rezerve edilmiştir.

-seri str
seri numarası, str, belirteç için atanan (sözde) benzersiz bir tanımlayıcıdır.
Bu seçenek ile kullanılır -Ayarlamak, -oluşturmak, ve -liste bayraklar. seri numarası
belirli bir OTP cihazını tanımlar ve gizli tutulması gerekmez. benzersizlik özelliği
bir öğe tipi depolama birimi içinde uygulanır; yani, tüm HOTP'lerin seri numaraları
cihazlar benzersiz olmalı, tüm TOTP cihazlarının seri numaraları benzersiz olmalıdır ve eğer
iki cihaz türü için hesaplar birleştirilir, tüm cihaz seri numaraları
benzersiz. Herhangi bir yazdırılabilir dize kabul edilir. Bir yazılım istemcisi üretiyorsa
şifreler, cihazın seri numarasını kullanabilir veya uygun açıklayıcı herhangi birini seçebilirsiniz.
dize zaten bir aygıta atanmamış.

not
Hem donanım belirteçlerine hem de
yazılım üreten istemci uygulamaları, resmileştirilmiş bir
belirteçleri için adlandırma şeması. Örneğin, yönetici "-hw" ifadesini sonuna ekleyebilir.
oluşturmak için satıcının seri numarası dacstoken seri numarası. yazılım için
belirteçler, yönetici bir dacstoken ekleyerek seri numarası
"-sw", satıcının aygıtın seri numarasına.

-totp-delta num
Temel süreyi şu şekilde ayarlayın: num aralıklarla (saniye cinsinden adım boyutunun her biri)
TOTP hesaplama bu num negatif, sıfır veya pozitif olabilir. Bu düzeltmek için kullanılır
Yetersiz senkronize edilmiş saatler için.

-totp-sürüklenme Pencereler
TOTP için bir pencere boyutu kullanın: Pencereler (aralık boyutu açısından) için
doğrulama. Eğer Pencereler is 0, hesaplanan TOTP değeri verilen değerle eşleşmelidir
Kesinlikle. Eğer Pencereler is 1Örneğin, dacstoken verilen TOTP ile eşleşmeye çalışacak
önceki, şimdiki ve sonraki aralıklardaki değer. Bu, saatlerin
sistem çalışıyor dacstoken (Ya da local_token_authenticate) ve belirteç üreten cihaz
daha az senkronize olun.

Güvenlik
Kötü senkronize edilmiş saatleri telafi etmesine rağmen, değerini arttırmak
Pencereler tek kullanımlık şifrenin ömrünü uzatarak sistemi zayıflatır.

-totp-hash alg
kullanım alg TOTP ile özet algoritması olarak. Değeri alg ile sınırlıdır (durum
duyarsız) SHA1 (varsayılan), SHA256 veya SHA512.

-totp-zaman adımı saniye
kullanım saniye bir TOTP hesaplanırken aralık boyutu olarak. Sıfırdan büyük olmalıdır. bu
varsayılan 30 saniye.

Güvenlik
Kötü senkronize edilmiş saatleri telafi etmesine rağmen, değerini arttırmak
saniye tek kullanımlık şifrenin ömrünü uzatarak sistemi zayıflatır.

-vfs vfs_uri
kullanım vfs_uri geçersiz kılmak için vfs[33] yapılandırma yönergesi yürürlükte. Bu olabilir
auth_token, auth_hotp_token veya auth_totp_token'ı yapılandırmak veya yeniden yapılandırmak için kullanılır
Üzerinde işlem yapılan hesaplar için depolama yöntemini belirtin.

Standart hataya yazdırılan hata mesajları dışında, tüm çıktılar
standart çıktı.

Normalde, bir dasoption adına yargı yetkisini seçmek için belirtilecektir.
hesaplar yönetiliyor.

ÖRNEKLER

Bu örnekler, kullanılacak yargı yetkisi adının ÖRNEK ve onun federasyonu olduğunu varsayar.
etki alanı example.com'dur.

Bu kimlik doğrulama yöntemini kullanmak için bir DACS yönetici aşağıdaki adımları gerçekleştirebilir
bir kullanıcıya atanan her OTP cihazı için:

1. Desteklenen bir belirteç edinin, kimlik doğrulama için nasıl kullanıldığını inceleyin ve değerleri seçin
çeşitli parametreler için. Satıcıdan cihazın gizli anahtarını alın; için
programlanabilir bir cihaz, uygun bir rastgele anahtar seçin ve cihaza programlayın.
Güncel sayaç değerleri satıcıdan da alınabilir.
sıfıra başlatılmış olması muhtemel; programlanabilir bir cihaz için sayaç değerini
sıfır. PIN'in gerekli olup olmayacağına karar verin (bkz. TOKEN_REQUIRES_PIN[9]). eğer bir yazılım
istemci kullanılıyorsa, yazılımı kullanıcının cihazına kurun (veya kullanıcının
so) ve yazılımı yapılandırın.

2. Hesap bilgilerinin nerede saklanacağına karar verin ve gerekirse uygun bir
vfs[33] dacs.conf yönergesi. Varsayılan (site.conf dosyasında bulunur) hesabı korur
auth_tokens adlı bir dosyadaki bilgiler, her yetki alanının varsayılan özel alanı içinde
alan:

VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"

3. Hesap bilgilerini şifrelemek için anahtarlar oluşturun (bkz. Jeton ve gizli anahtarlar[34]) ve
nerede saklanacaklarına karar verin; örneğin (kullanıcı kimliğiniz, grup kimliğiniz, yolunuz,
yetki alanı adı ve federasyon etki alanı değişebilir):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj ÖRNEK -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

Gerekirse uygun bir vfs[33] dacs.conf yönergesi; varsayılan, ki
yukarıda kullanılan, hesap bilgilerini içinde auth_token_keys adlı bir dosyada tutar.
her yargı alanının varsayılan özel alanı:

VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"

4. Kullanıcıların oturum açmasına ihtiyacınız varsa dacs_authenticate(8)[2], bir yapılandırmanız gerekir
dacs.conf içindeki uygun Auth maddesi, örneğin:


URL "belirteç"
STİL "geçiş"
KONTROL "yeterli"


5. Bir yöneticinin ne kadarına bağlı olarak ilerleyebileceği birkaç yol vardır.
çaba kullanıcılar tarafından yapılabilir (örneğin, güvenilir olup olmadıkları, teknik
yeteneği), kaç kullanıcı olduğu (birkaç veya binlerce) ve güvenlik düzeyi
gereklidir.

1. içeren bir dosya hazırlayın XML kayıt[35] oluşturulacak her hesap için; Eğer
PIN'ler kullanılacaktır, her hesaba rastgele bir PIN atayın;

2. kullanın -içe aktarmak[36] hesapları oluşturmak için işaret;

3. kullanıcıya belirteç cihazını, kullanıcı adını ve (gerekirse) ilk PIN'i verin
(belki de kimliğin doğrulanması), gerekli herhangi bir gösterimin sağlanması ve
Talimatlar;

4. kullanıcının hesap için PIN'i ayarlamasını veya sıfırlamasını sağlayın ve kullanıcıdan oturum açmasını isteyin
doğru işlemi onaylamak için belirteci kullanın.

Bir HOTP cihazı için kullanıcı bobo için devre dışı bırakılmış bir hesap oluşturmak için:

% dacstoken -uj ÖRNEK -mode hotp -serial 37000752 -key-file bobo.key -create bobo

Hesabın (zaten mevcut olmaması gereken) gizli anahtarı dosyadan okunur
bobo.key. Yeni hesaplar varsayılan olarak devre dışıdır; kullanmak -etkinleştirme Etkinleştirilmiş bir hesap oluşturmak için

Bir hesap oluşturulduktan sonra jetonla senkronize edilebilir. senkronize etmek için
kullanıcı bobo için HOTP belirteci:

% dacstoken -uj ÖRNEK -sync 433268,894121,615120 bobo

Bu örnekte, belirli belirteç, birbirini izleyen üç parola 433268 üretti,
894121 ve 615120. Aşağıdaki parola dizisi dizesinin -senkronizasyon bayrak
gömülü boşlukları olmayan tek bir argüman. Bu belirtecin anahtarı ise
19c0a3519a89b4a8034c5b9306db, bu belirteç tarafından oluşturulan bir sonraki şifre 544323 olmalıdır
(sayaç değeri ile 13). Bu kullanılarak doğrulanabilir -hotp-gösteri:

% dacstoken -hotp-show 5 -sayaç 10 -anahtar 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442

Kullanıcı bobo hesabını etkinleştirmek için:

% dacstoken -uj ÖRNEK -enable -set bobo

Hem PIN'i ayarlamak hem de kullanıcı bobo hesabını etkinleştirmek için:

% dacstoken -uj ÖRNEK -enable -pin "CzAy" -set bobo

Tüm hesapları ayrıntılı olarak listelemek için:

% dacstoken -uj ÖRNEK -long

The -liste bayrak, varsayılan işlem olduğundan gereksizdir. bu biçem, -sayacı, vb.
değiştiricilerin listeleme sırasında hiçbir etkisi yoktur.

Yalnızca bobo hesabını listelemek için:

% dacstoken -uj ÖRNEK -list bobo

Bu kullanıcının hesabı yoksa çıkış durumu sıfırdan farklı olacaktır.

37000752 seri numaralı cihazın hesabını görüntülemek için:

% dacstoken -uj ÖRNEK -seri 37000752

Bir jetonu benzersiz bir şekilde tanımlaması gereken seri numarası genellikle jetonun üzerine yazdırılır.
veya belirteç tarafından görüntülenebilir.

Mevcut bobo hesabının sayaç değerini ayarlamak için:

% dacstoken -uj ÖRNEK -sayaç 9 -set bobo

Bu işlem, test için veya bir yazılım belirteci ile kullanılabilir. bu -senkronizasyon operasyon
bir donanım belirteci için daha uygundur.

bobo kullanıcı adı için PIN'i değiştirmek için:

% dacstoken -uj ÖRNEK -pin istemi -set bobo

Program yeni PIN'i soracaktır.

Alternatif bir hesap dosyası kullanmak için /secure/auth_tokens:

% dacstoken -uj ÖRNEK -vfs "dacs-kwv-fs:/secure/auth_tokens" -list

Yeni anahtarlar kullanmak için (öncekiyle aynı varsayımları yaparak), uygun bir VFS yönergesi ekleyin.
dacs.conf; varsayılan, auth_token_keys_prev öğe türünü aşağıdaki gibi tanımlar:

VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj ÖRNEK -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj ÖRNEK -inkeys auth_token_keys.prev -set

TANI

Bir hata oluşursa program 0 veya 1'den çıkar.

onworks.net hizmetlerini kullanarak dacstoken'ı çevrimiçi kullanın