Це команда dacsauth, яку можна запустити у безкоштовного хостинг-провайдера OnWorks за допомогою однієї з наших безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
dacsauth - перевірка автентифікації
СИНТАКСИС
dacsauth [-m auth-module-spec] [...] [-r roles-module-spec] [...] [-Dдиректива=значення]
[- допоміжний]
[-fj юрид] [-fn Fedname] [-h | -допомога] [-ідентифікатор] [-ll log_level]
[-p пароль]
[-пф файл] [- підкажіть] [-q] [{-u | -користувач} ім'я користувача] [-v]
dacsauth-модулі
ОПИС
Ця програма є частиною DACS на.
Команда dacsauth утиліта перевіряє, чи задовольняє даний матеріал автентифікації автентифікацію
вимоги та вказує на результат через статус виходу процесу. Це схоже на
dacs_authenticate(8)[1] і dacscred(1)[2].
dacsauth надає можливість сценаріям та іншим програмам використовувати DACS ідентифікація
інфраструктура. Вони можуть використовувати успішну автентифікацію як грубу форму
авторизація; лише користувачеві, який вводить правильний пароль, може бути дозволено запускати
програма, наприклад. Або вони можуть повернути певний тип облікових даних після успішного виконання
автентифікації або, можливо, використання dacs_auth_agent(8)[3] повернутися DACS повноваження.
dacsauth також можна використовувати для отримання інформації про роль, пов’язану з певним користувачем.
dacsauth нічого не читає DACS файли конфігурації. Все необхідне для проведення тесту
необхідно вказати як аргумент.
Чайові
If dacsauth використовує вбудований модуль для автентифікації або пошуку ролей, немає
сервер компонент is вимагається. Це означає, що ви можете використовувати dacsauth без необхідності
отримати доступ або навіть налаштувати веб-сервер, включаючи Apache.
ВАРІАНТИ
Розпізнаються такі прапорці командного рядка. Принаймні один -m прапор (виконувати
тестування автентифікації), або принаймні один -r необхідно вказати прапор (для формування ролі
рядок дескриптора для посвідчення та вивести його на stdout). Поєднання обох прапорів є
дозволено, і в цьому випадку рядок дескриптора ролі виводиться, лише якщо тест автентифікації
є успішним.
-Dдиректива=значення
Це еквівалентно налаштуванню директива, генерал DACS директива конфігурації, до
значення, Побачити dacs.conf(5)[4].
- допоміжний
Наступний рядок, наданий -p, -пфабо - підкажіть прапор буде значенням
ДОПОМОГА аргумент автентифікації. Це забезпечує безпечний спосіб передачі чутливих
допоміжну інформацію, наприклад PIN-код, до програми. Прапор для отримання пароля,
якщо є, має передувати цьому прапорцю в командному рядку.
-fj юрид
Скористайтесь юрид, яке має бути синтаксично дійсним, як назва юрисдикції. Якщо потрібно
але не надається, буде використано значення, отримане з доменного імені хоста.
-fn Fedname
Скористайтесь Fedname, який має бути синтаксично дійсним, як назва федерації. Якщо потрібно
але не надається, буде використано значення, отримане з доменного імені хоста.
-h
-допомога
Відобразити довідкове повідомлення та вийти.
-ідентифікатор
У разі успіху роздрукуйте автентифікований файл DACS ідентичність стандартного виводу.
-ll log_level
Встановіть вихідний рівень налагодження log_level (Див. ЦАПи(1)[5]). Рівень за замовчуванням
попереджати.
-m auth-module-spec
Кожен необхідний тип перевірки автентифікації описано в auth-module-spec
що відразу слідує за -m прапор. Кожен auth-module-spec по суті є
альтернативне представлення ан Auth пункт[6] та його директиви, якими користуються
dacs_authenticate(8)[1]. Так само, як порядок, у якому з’являються пропозиції Auth у a DACS
файл конфігурації, порядок, у якому -m прапори можуть мати значення,
залежно від контроль ключові слова. Під час обробки послідовні -m компоненти є
автоматично присвоєні імена, auth_module_1, auth_module_2 тощо, головним чином для
повідомлення про помилки.
An auth-module-spec має такий синтаксис:
Команда Модулі починається або з назви вбудованого модуля, або з допустимої абревіатури
або (абсолютну) URL-адресу зовнішнього модуля автентифікації (еквівалент
URL[7] директива). Далі має з’явитися розпізнане ключове слово стилю автентифікації
специфікатор (еквівалент СТИЛЬ[8] директива). Далі, контроль слідує ключове слово,
яка ідентична до КОНТРОЛЬ[9] директива в пункті Auth. Після контроль
ключове слово, позначки, описані нижче, можуть слідувати в будь-якому порядку.
An auth-module-spec закінчується, коли є перший недійсний прапор (або кінець прапорів).
стикалися.
Команда -O прапор еквівалентний an ВАРІАНТ[10] директива.
Команда -З Після прапора йде аргумент, який є назвою файлу, з якого слід читати
параметри, по одному на рядок, у форматі ім'я=значення. Порожні рядки та рядки, що починаються з
'#' ігноруються; зауважте, що ці рядки не починаються з «-O», а лапки просто
скопійовано, а не інтерпретовано. The -З прапорець можна використовувати, щоб уникнути встановлення паролів
командний рядок і полегшує написання виразів, які б інакше мали
бути обережним, щоб запобігти інтерпретації оболонкою, наприклад.
Команда -вираз прапор еквівалентний ЕКСПРЕС[11] директива. The -vfs прапор звик
конфігурувати VFS[12] директив, необхідних для цього модуля.
-модулі
Відобразити список вбудованих модулів автентифікації та ролей, по одному на рядок, і
потім вийдіть. Друкується канонічне ім’я модуля, а потім нуль або більше еквівалентів
скорочення. Для модулів автентифікації показано стиль автентифікації. Щоб перерахувати
доступні модулі, виконайте команду:
% dacsauth -модулі
Визначається набір доступних (увімкнених) вбудованих модулів аутентифікації та ролей
коли DACS будується.
-p пароль
Вкажіть пароль для використання (еквівалентний ПАРОЛЬ аргумент до
dacs_authenticate).
Безпека
Пароль, наданий у командному рядку, може бути видимим для інших користувачів
системи.
-пф файл
Прочитайте пароль для використання файл (еквівалентно ПАРОЛЬ аргумент до
dacs_authenticate). Якщо файл «-», тоді пароль читається зі стандартного введення
без підказки.
- підкажіть
Запитувати пароль і читати його зі стандартного вводу (еквівалентно ПАРОЛЬ аргумент до
dacs_authenticate). Пароль не повторюється.
-q
Будьте тихішими, зменшивши вихідний рівень налагодження.
-r роль-модуль-спец
Ролі для ім'я користувача можна визначити, поставивши цей прапорець, який є негайно
слідом за a roles-module-spec, -r прапор може повторюватися, а результуючі ролі
поєднуються. Кожен roles-module-spec по суті є альтернативним представленням a
Речення Roles, яке використовує dacs_authenticate(8)[13]. Сукцесивний -r компоненти є
призначені імена, roles_module_1, roles_module_2 тощо, головним чином для звітування про помилки
цілей.
A roles-module-spec має такий синтаксис:
Команда Модулі компонент еквівалентний пункту Roles URL[14] директива і є
або назва наявного вбудованого модуля ролей, його дійсне скорочення,
або (абсолютна) URL-адреса модуля зовнішніх ролей.
Прапори можуть слідувати за Модулі компонент у будь-якому порядку. А roles-module-spec закінчується, коли
зустрічається перший недійсний прапор (або кінець прапорів).
Команда -O прапор еквівалентний an ВАРІАНТ[10] директива.
Команда -З Після прапора йде аргумент, який є назвою файлу, з якого слід читати
параметри, по одному на рядок, у форматі ім'я=значення. Порожні рядки та рядки, що починаються з
'#' ігноруються; зауважте, що ці рядки не починаються з «-O», а лапки просто
скопійовано, а не інтерпретовано. The -З прапорець можна використовувати, щоб уникнути встановлення паролів
командний рядок і полегшує написання виразів, які б інакше мали
бути обережним, щоб запобігти інтерпретації оболонкою, наприклад.
Команда -вираз прапор еквівалентний ЕКСПРЕС[11] директива. The -vfs прапор звик
конфігурувати VFS[12] директив, які вимагає Модулі.
-u ім'я користувача
-користувач ім'я користувача
Ім’я користувача для автентифікації (еквівалент USERNAME аргумент до
dacs_authenticate). Це ім’я користувача неявно пов’язане з ефективним
федерації та юрисдикції (див -fn[15] і -fj[16] прапори).
-v
Команда -v прапорець змінює вихідний рівень налагодження для налагодження або (якщо повторюється) трасування.
ПРИКЛАДИ
Безпека
If dacsauth використовує вбудований модуль для виконання автентифікації, він повинен запускати setuid або
setgid для отримання достатніх привілеїв для доступу до необхідного файлу паролів (те саме
вірно для вбудованих модулів ролей). Якщо він використовує зовнішній модуль, цей модуль буде
необхідно виконати з достатніми правами доступу DACS криптографічні ключі,
зокрема federation_keys і, можливо DACS або файли системних паролів; зовнішній
потім модуль повинен буде виконуватися з достатніми привілеями для доступу до будь-яких його файлів
вимагає.
Обов’язково використовуйте federation_keys, які відповідають вашій федерації. Посилання
модулі автентифікації в двох або більше федераціях, ймовірно, не працюватимуть.
dacsauth тому зазвичай не повинен запускатися як UID користувача, який його викликає
(якщо це не root), оскільки він не матиме доступу до інформації
це вимагає. Це також запобіжить користувачеві «шахрайство» (наприклад, приєднання до
запущений модуль з відладчиком).
Цей приклад автентифікує користувача "bobo" за допомогою пароля "test" проти DACS файл паролів
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd необхідний пароль
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p тест
Якщо статус завершення команди дорівнює нулю, перевірка автентифікації пройшла успішно, інакше – ні
не вдалося.
У наступному прикладі намагається автентифікувати "bobo" за її файлом паролів Unix. The
програма запитує пароль.
% dacsauth -m unix passwd необхідний -u bobo -prompt
У наступному прикладі dacsauth намагається автентифікувати "bobo" через NTLM на
winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Цей приклад схожий на попередній, за винятком зовнішнього модуля автентифікації
використовується, а пароль зчитується з файлу. Через зовнішній модуль, доп
необхідно надати конфігурацію; зокрема, розташування federation_keys і
необхідно вказати назви федерації та юрисдикції.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd достатньо -OSAMBA_SERVER="winders.example.com" \
-fn ПРИКЛАД -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
Для автентифікації проти Google[17] рахунок [захищено електронною поштою], можна використати:
% dacsauth -m http passwd suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=Електронна пошта -OPASSWORD_PARAMETER=Пароль \
-Oservice=xapi -Osource=DSS-DACS-1.4 -prompt -u [захищено електронною поштою]
У наступному прикладі вираз обчислюється, щоб визначити, чи автентифікація
має досягти успіху. Користувачеві ("bobo") буде запропоновано ввести пароль. Тільки якщо є рядок "foo".
якщо автентифікація пройде успішно. Більш реалістичний приклад може викликати іншу програму
допомогти прийняти рішення, наприклад.
% dacsauth -m expr expr suffi \
-expr '${Args::PASSWORD} eq "foo"? ${Args::USERNAME} : ""' -користувач bobo -запит
Автентифікація проти Apache htdigest файл пароля виконується наступним чином
наприклад, де пароль зчитується з stdin:
% ехо "тест" | dacsauth -m apache дайджест достатньо \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="Область авторизації дайджесту DACS" \
-u bobo -pf -
Автентифікація за допомогою модуля PAM працює інакше, ніж інші модулі, і є більше
складний у використанні - тому що dacsauth може знадобитися запустити кілька разів, залежно від чого
інформацію, яку вимагає PAM. Замість того, щоб повертати рішення «так/ні», dacsauth може друкувати
запитує додаткову інформацію на stdout. Будь ласка, ознайомтеся з операційними деталями, представленими в
dacs_authenticate(8)[18] і pamd(8)[19] перед спробою використання цього модуля.
Наступний приклад демонструє використання модуля з командного рядка. Раз осн
ідеї зрозумілі, має бути зрозуміло, як написати сценарій для виконання
необхідні ітерації. Деталі прикладу, як-от шляхи, можливо, потребують коригування
ваше оточення. Зауважте, що в цьому прикладі ім’я користувача не вказано вперше
dacsauth запущено, хоча це могло б бути, якби це було відомо.
% dacsauth -m pam запрошено достатньо \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj ПРИКЛАД -fn ТЕСТ
AUTH_PROMPT_VAR1="Вхід:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam запрошено достатньо \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="бобо" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Пароль:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam запрошено достатньо \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="пароль" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Вперше dacsauth запускається у прикладі, він повертає підказку для імені користувача
("Логін:"), пов'язаний із змінною транзакції AUTH_PROMPT_VAR1 і
ідентифікатор транзакції (AUTH_TRANSID). Останнє необхідно передати наступним
страти dacsauth. Другий запуск dacsauth передає ім'я користувача ("bobo") і
повертає інший запит ("Пароль:"), пов'язаний зі змінною транзакції
AUTH_PROMPT_VAR2. Третій запуск передає пароль ("apassword"), але підказки немає
повертається, вказуючи, що сеанс завершено, і відображає статус виходу з програми
результат автентифікації.
Чайові
Лі dacsauth потрібен пароль для отримання ролей, залежить від конкретних ролей
використовуваний модуль. Наприклад, пароль не вимагається локальні_ролі_unix[20] або
локальні_ролі[21] отримати ролі, але local_ldap_roles[22], ймовірно, знадобиться a
пароль для прив’язки до каталогу та отримання ролей.
Цей приклад друкує рядок ролі для користувача "bobo", викликаючи вбудований
локальні_ролі_unix[20] модуль:
% dacsauth -r unix -u bobo
bobo, колесо, www, користувачі
Наступний приклад схожий на попередній, за винятком того, що використовується модуль зовнішніх ролей:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ПРИКЛАД -u bobo
bobo, колесо, www, користувачі
Модуль зовнішніх ролей може бути виконано на іншому хості, ніж той, що працює
dacsauth. За умови dacsauth було встановлено, і є відповідний файл federation_keys
доступний на локальному хості, локальний хост не повинен бути a DACS юрисдикцію або мати будь-яку
інший DACS configuration.
Наступний приклад друкує роль рядок[23] для користувача "bobo", відомого в межах
каталог із загальною назвою "Bobo Baggins", використовуючи (зовнішній) local_ldap_roles[22]
модуль і метод «прямої» прив’язки:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-З /usr/local/dacs/ldap_roles_options_direct -u "Бобо Бегінс" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ПРИКЛАД -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domain_Admins, Administrators
Оскільки існує забагато прапорців для легкого та правильного розміщення в командному рядку, то
параметри, необхідні для цього, зчитуються з файлу, указаного в -З прапор
Це також забезпечує більш безпечний спосіб передачі паролів програмі; забезпечити доступ
до файлу обмежено належним чином. Файл
/usr/local/dacs/ldap_roles_options_direct може містити таку конфігурацію:
LDAP_BIND_METHOD=прямий
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . ",CN=Користувачі,DC=приклад,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Наступний приклад схожий на попередній, за винятком того, що в ньому використовується «непряме» зв’язування
і тому не потрібно надавати загальне ім’я користувача:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-З /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ПРИКЛАД -fj FEDROOT -p bobospassword
DnsAdmins, Print_Operators, Domain_Admins, Administrators
Файл /usr/local/dacs/ldap_roles_options_indirect може містити такі налаштування, як
це:
LDAP_BIND_METHOD=непрямий
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Пошук під користувачами...
LDAP_SEARCH_ROOT_DN=CN=Користувачі,DC=приклад,DC=com
LDAP_ADMIN_PASSWORD=Секретний пароль адміністратора
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Припустимо, хтось хотів використати dacsauth для автентифікації користувача через LDAP аналогічним чином
ця конфігурація dacs.conf:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE "пароль,додати_ролі"
CONTROL "потрібно"
LDAP_BIND_METHOD "прямий"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Користувачі,dc=приклад,dc=локальний"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
Такий файл (наприклад, /usr/local/dacs/ldap_auth_options_direct) міститиме
такі директиви:
LDAP_BIND_METHOD=прямий
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Користувачі,dc=приклад,dc=локальний"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Тоді автентифікацію можна виконати за допомогою такої команди:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd suff \
-З /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn ПРИКЛАД -u bobo -prompt
ДІАГНОСТИКА
Програма виходить з 0, якщо автентифікація пройшла успішно, або з 1, якщо автентифікація не вдалася або
виникла помилка.
Використовуйте dacsauth онлайн за допомогою сервісів onworks.net
