Це команда dacstoken, яку можна запустити у безкоштовного хостинг-провайдера OnWorks за допомогою однієї з наших безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
dacstoken - адміністрування одноразових паролів на основі хешу
СИНТАКСИС
dacstoken [dacsoptions[1]] [-всі] [-база Num] [-рахунок Num] [- цифри Num]
[- вимкнути | -увімкнути] [-hotp-вікно Num] [-інкейси item_type]
[[-кілька keyval] | [- ключ-файл ім'я файлу] | [- ключ-підказка]] [-моде otp-режим]
[-вихідні ключі item_type]
[[-Полюсні pinval] | [-пін-файл ім'я файлу] | [-pin-підказка]] [-pin-обмеження вул]
[-рнд] [- насіння вул] [-серійний вул] [-totp-дельта Num] [-тотп-дрейф nwindows]
[-totp-хеш ALG]
[-totp-timestep сухий] [-vfs vfs_uri] [оп-спец] [ім'я користувача]
ОПИС
Ця програма є частиною DACS на.
Команда dacstoken адмініструє комунальне підприємство DACS облікові записи, пов’язані з одноразовим паролем (OTP)
генеруючі пристрої (лексеми) або програмні клієнти. Використовуючи параметри командного рядка, це також
обчислює значення OTP; Параметри облікового запису маркера можна перевизначати, але облікові записи не парні
вимагається.
Надійну двофакторну автентифікацію можна забезпечити, коли dacs_authenticate[2] налаштовано
використовувати local_token_authenticate[3] модуль автентифікації або коли dacstoken використовується як
окрема програма для перевірки паролів. Обидва режими одноразового пароля на основі HMAC
(HOTP), заснований на лічильнику подій і визначений RFC 4226[4], і на основі часу
режим одноразового пароля (TOTP), як зазначено в останній IETF Інтернет-чернетка[5] пропозиція,
підтримуються. Додатковий оперативний Режими[6] називається OCRA (КЛЯТВА Виклик-відповідь
Алгоритми), описані в Інтернет-проекті IETF, ще не підтримуються повністю.
примітки
ця версія dacstoken містить багато змін, які не є зворотно сумісними
з випуском 1.4.24a і раніше. Деякі прапорці командного рядка функціонують інакше, і
змінився формат файлу облікового запису. Якщо ви використовували цю команду раніше
випусків, зробіть резервну копію файлу вашого облікового запису маркера та перегляньте цей посібник
перш ніж продовжити (зверніть увагу на - конвертувати прапор [7] зокрема).
Важливий
Програмне забезпечення, що надається постачальником, не вимагається dacstoken забезпечити його функціональність. The
Пристрої, які наразі підтримуються, не потребують реєстрації чи взаємодії з конфігурацією
з продавцями та dacstoken робить НЕ взаємодіяти з постачальники сервери or використання будь-який
власником програмне забезпечення. Для роботи може знадобитися програмне забезпечення, надане постачальником
ініціалізацію або конфігурацію для інших пристроїв-токенів dacstoken робить
не надавати їм такої підтримки.
Кожен маркерний пристрій зазвичай відповідає точно одному обліковому запису, яким керує
dacstoken, хоча деякі постачальники виробляють токени, які можуть підтримувати кілька облікових записів.
Підводячи підсумок, ця утиліта:
· створює та адмініструє DACS рахунки, пов'язані з лічильником і на основі часу
одноразові паролі
· забезпечує функціональність перевірки та тестування
· забезпечує можливість автентифікації командного рядка
Безпека
Тільки ті DACS адміністратор повинен мати можливість успішно запускати цю програму з
командний рядок. Тому що DACS ключі та файли конфігурації, включаючи файл, який використовувався для
облікові записи магазину мають бути обмежені адміністратором, як правило, це буде
але уважний адміністратор встановить права доступу до файлу, щоб заборонити доступ усім
інші користувачі.
примітки
Команда dacs_token(8)[8] веб-сервіс надає користувачам обмежене самообслуговування
функціональні можливості для встановлення або скидання PIN-коду свого облікового запису та синхронізації їхнього маркера. Він також
має демонстраційний режим для спрощення тестування та оцінювання.
PIN-коди (Рахунок Паролі)
A dacstoken обліковий запис може додатково мати PIN-код (тобто пароль), пов’язаний із ним. до
для автентифікації в такому обліковому записі користувач повинен надати створений одноразовий пароль
за ознакою та PIN-код. The TOKEN_REQUIRES_PIN[9] директива конфігурації визначає
чи потрібно надавати PIN-код під час створення або імпорту облікового запису; це не застосовується в
поєднання з -дельпін прапор, оскільки лише адміністратор повинен мати можливість виконувати
цю функцію.
Хеш PIN-коду зберігається в обліковому записі, а не сам PIN-код. Так само
метод, який використовує dacspasswd(1)[10] і dacs_passwd(8)[11] застосовується і залежить від
PASSWORD_DIGEST[12] і PASSWORD_SALT_PREFIX[13] чинних директив. Якщо
PASSWORD_DIGEST[12] налаштовано, використовується цей алгоритм, інакше час компіляції
використовується за умовчанням (SHA1). Якщо користувач забув PIN-код, старий не можна відновити
потрібно або видалити, або встановити новий.
Деякі пристрої з жетонами мають вбудовану функцію PIN-коду. Користувач повинен ввести PIN-код
пристрій, перш ніж пристрій видасть одноразовий пароль. Це "PIN-код пристрою".
повністю відрізняється від PIN-коду облікового запису, яким керує dacstoken, і цей посібник є
стосується лише dacstoken PIN-код. Якщо це можливо, завжди слід використовувати PIN-код пристрою;
dacstoken PIN-код настійно рекомендований і необхідний для двофакторної автентифікації
(якщо додатковий фактор автентифікації не застосовано іншим способом).
Оскільки лише адміністратор має право виконувати цю команду, жодних обмежень не накладається
про довжину або якість PIN-кодів, які надає адміністратор; попереджувальне повідомлення
однак буде випущено, якщо пароль вважається слабким, як це визначено
PASSWORD_CONSTRAINTS[14] директива.
Одного разу Паролі
Обидва типи пристроїв для одноразового пароля обчислюють значення пароля за допомогою безпечного
хеш-алгоритм з ключем (RFC 2104[15], FIPS 198[16]). При зустрічному методі прилад
і сервер мають спільний секретний ключ і значення лічильника, які хешуються, щоб отримати числове значення
значення, що відображається в певній системі з певною кількістю цифр. Успішний
аутентифікація вимагає, щоб пристрій і сервер обчислювали відповідні паролі. Кожного разу
пристрій створює пароль, він збільшує свій лічильник. Коли сервер отримує відповідність
пароль, він збільшує свій лічильник. Бо можна двом фішкам стати
несинхронізований, алгоритм відповідності сервера зазвичай дозволяє пароль клієнта
потрапляти у «вікно» значень лічильника. Почасовий метод аналогічний, основний
різниця полягає в тому, що поточний час Unix (як повернуто час(3)[17], наприклад).
використовується для встановлення «вікна кроку в часі», яке служить значенням лічильника в обчисленні
безпечного хешу. Тому що годинника реального часу на пристрої і сервері може не бути
достатньо синхронізований, алгоритм відповідності сервера також повинен дозволяти клієнту
пароль для певної кількості часових вікон для цих пристроїв.
Безпека
Маркеру може бути призначено постійний секретний ключ (іноді його називають початковим числом OTP).
виробник або ключ може бути програмованим. Цей секретний ключ використовується маркером
процедуру створення пароля, і дуже важливо, щоб він залишався конфіденційним. Якщо маркер
не програмується, ключ отримується від постачальника (як правило, для маркера HOTP
надавши серійний номер пристрою та будь-які три послідовних пароля). Запис
кожного зіставлення від серійного номера до секретного ключа слід зберігати в безпечному місці.
Якщо секретний ключ є програмованим, як це, ймовірно, буде з програмним клієнтом, це так
потрібно принаймні 128 біти в довжину; мінімум 160 біти рекомендується.
ключ представлено шістнадцятковим рядком із 16 (або більше) символів. Ключ повинен
бути отримано з криптографічного джерела випадкових бітів. Деякі клієнти можуть бути
здатний згенерувати відповідний ключ, але ви можете використовувати dacsexpr(1)[два]:
% dacsexpr -e "випадковий (рядок, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Чайові
Маркери можна використовувати для автентифікації, крім входу в систему комп’ютера. для
наприклад, надавши номер рахунку, PIN-код і вартість маркера, клієнти можуть швидко
бути автентифікованим по телефону, зменшуючи або усуваючи потребу в дорогих і
питання безпеки, які потребують багато часу.
Пристрої та додатки з одноразовим паролем мають наступні робочі параметри.
Ці параметри визначають згенеровану послідовність паролів. Деякі оперативні
параметри можуть бути фіксованими (відповідним стандартом або внаслідок впровадження), при цьому
інші можуть бути частково або повністю конфігуровані користувачем. Будь ласка, зверніться до
довідки та документація виробника для деталей.
база
Основа, у якій відображаються паролі.
протидія
Лише для режиму HOTP поточне значення лічильника.
цифр
Кількість цифр у кожному одноразовому паролі.
ключ
Секретний ключ (початкове число OTP).
серійний номер
Унікальний ідентифікатор або назва пристрою.
розмір кроку часу
Лише для режиму TOTP ширина кожного інтервалу часу в секундах. Той самий пароль
буде створено протягом заданого інтервалу; тобто це «тривалість життя» або термін дії
період кожного пароля TOTP.
Крім цих параметрів, dacstoken використовує кілька для кожного облікового запису (тобто для кожного пристрою)
параметрами:
прийняти вікно
Під час перевірки пароля HOTP максимальна кількість паролів, яку слід враховувати після
очікуваний пароль.
дрейфувати
Лише для режиму TOTP, кількість секунд, на яку потрібно налаштувати годинник сервера
вперед або назад для кращої синхронізації з пристроєм. До цього звикли
компенсувати токени або клієнтське програмне забезпечення, годинник якого погано синхронізовано
сервера.
дрейф-вікно
Лише для режиму TOTP, але аналогічного вікну прийняття, максимальна кількість
інтервали (кожен із розміром кроку в часі) для пошуку вперед і назад під час перевірки
проти заданого пароля.
sync-otps
Лише для режиму HOTP кількість послідовних одноразових паролів, необхідних для
синхронізувати обліковий запис з пристроєм.
ім'я користувача
Назва DACS обліковий запис, прив’язаний до пристрою.
Аутентифікація на основі пристроїв з одноразовим паролем має такі переваги:
· Кожного разу, коли користувач автентифікується, буде створено інший пароль (з високим
ймовірність); тому користувачі не можуть записати «пароль», оскільки пароль є
постійно змінюється; користувачі не можуть забути свій пароль;
· Після використання пароль режиму HOTP негайно «споживається» і навряд чи буде використаний
знову надовго; з відповідними параметрами конфігурації, пароль режиму TOTP
автоматично "закінчується" протягом відносно короткого інтервалу часу і навряд чи буде
повторно використовується протягом тривалого часу;
· Якщо корекція зсуву тактової частоти не потрібна, обліковий запис у режимі TOTP може мати доступ лише для читання
операція;
· Оскільки пароль навряд чи буде легко вгадати числом або рядком, це має бути
бути надійнішим за більшість паролів, вибраних користувачем;
· HOTP-токен може бути основою методу взаємної («двонаправленої») автентифікації; в
сервер показує користувачеві наступний пароль його токена для підтвердження його ідентичності (з обома
сторони просувають свої лічильники), тоді клієнт показує серверу наступний пароль
підтвердити свою особу;
· Якщо на комп’ютері користувача встановлено сніффер ключів, знятий пароль – ні
принести нападнику будь-яку користь, якщо тільки a людина-в-середині атака[19] можливо; дано N
послідовних паролів все ще дуже важко обчислити пароль N + 1 без
знання секретного ключа;
· Користувачам важче надати спільний доступ до облікового запису (хоча іноді користувачі можуть
вважайте це незручністю);
· Якщо dacstoken PIN-код призначається обліковому запису, і зловмисник отримує його
токен, зловмиснику все ще важко автентифікуватися, не знаючи PIN-коду;
· Швидкий і миттєвий ефективний спосіб вимкнути обліковий запис - просто захопити a
апаратний маркер (наприклад, якщо працівника звільнено), хоча обліковий запис можна відключити
цієї програми або за допомогою анулювання список[20];
· У випадку програмного клієнта, який працює на мобільному пристрої, такому як телефон або КПК,
користувачі вже носять пристрій із собою; безкоштовні клієнти доступні, так що там
може бути без додаткових витрат (зверніть увагу, що мобільні пристрої можуть не пропонувати те саме
стійкість до втручання, довговічність, секретність ключа, точність годинника тощо апаратного токена).
Пристрої з одноразовим паролем мають такі потенційні недоліки:
· Є одноразові витрати на апаратний токен (залежно від обсягу покупки,
ви можете розраховувати заплатити 10-100 доларів США за кожен), і існує ймовірність того, що доведеться це зробити
замінити втрачений або зламаний жетон або батарею жетона (деякі одиниці мають
незмінний акумулятор, що робить їх одноразовими через кілька років);
· Початкова конфігурація дещо складніша, ніж з іншою автентифікацією
і користувачів, які не знайомі з пристроями, доведеться проінструктувати їх
використання;
· Хоча зазвичай вони досить малі (наприклад, 5 см x 2 см x 1 см) і їх можна прикріпити до
брелок або шнурок, або зберігати в гаманці, користувачі можуть здригнутися від необхідності носити жетон
навколо з ними;
· Користувачі можуть забути мати при собі свій жетон або втратити його;
· Мобільний пристрій (з програмним клієнтом), ймовірно, є мішенню для крадіжки
аніж апаратний маркер (звідси додаткова важливість PIN-коду для цього пристрою);
· На відміну від апаратного токена, де ключ записується в недоступне, захищене від втручання
пам’яті, ключ, налаштований у клієнті програмного забезпечення, ймовірно, буде читатися ним
власник, що робить можливим спільне використання облікового запису;
· Введення початкового значення довжиною 40 або більше символів у мобільний пристрій може викликати розчарування
і схильні до помилок;
· Після того, як пристрій TOTP згенерує пароль, новий пароль не може бути згенерований, доки не буде
наступний часовий вікно, що вимагає від користувача чекати 30 (або, можливо, 60) секунд (наприклад,
якщо допущено помилку при введенні);
· Деякі пристрої важко читати в умовах слабкого освітлення; пресбіопії та інші
з ослабленим зором можуть виникнути труднощі з читанням на дисплеї.
Рахунки
Облікові записи, якими керує dacstoken повністю відокремлені від облікових записів, які використовує
local_passwd_authenticate[21] або будь-який інший DACS модуль автентифікації.
Облікові записи для пристроїв HOTP і TOTP можна поєднувати або зберігати окремо. Якщо віртуальний
визначено тип елемента filestore auth_hotp_token, він використовується лише для пов’язаних облікових записів
з токенами HOTP. Подібним чином, якщо тип елемента віртуального файлового сховища auth_totp_token є
визначено, він використовується лише для облікових записів, пов’язаних із маркерами TOTP. Якщо один із типів елементів є
не визначено, облікові записи доступні через DACS віртуальне сховище файлів за допомогою типу елемента
auth_token. Передбачається, що дозволи на файли в базах даних облікових записів такі, що всі
доступ обмежений адміністратором і local_token_authenticate.
Якщо облікові записи для двох типів пристроїв є комбінований, оскільки кожне ім’я користувача для
метод автентифікації має бути унікальним, якщо особа має обидва типи маркерів, вони повинні
призначати різні імена користувачів. Так, наприклад, якщо Auggie має один маркер HOTP і один
Токен TOTP, перший може відповідати імені користувача auggie-hotp, а другий —
auggie-totp; форма входу може містити введення в режимі пристрою, що дозволить Auggie
просто введіть "auggie" у полі імені користувача та JavaScript автоматично додасть
відповідний суфікс на основі вибраного режиму пристрою. Очевидний недолік цього
конфігурації полягає в тому, що вона призводить до двох різних DACS ідентичності однієї особи;
це потрібно було б пам’ятати, якщо правило контролю доступу потребує ідентифікації Auggie
явно. Якщо обидва токени мають зіставлятися з одним і тим же DACS identity, пункт Auth could
видаляє суфікс після успішної автентифікації, але тоді адміністратор
потрібно остерігатися корпусу двох різних Auggies, кожен з яких використовує різні типи пристроїв.
Налаштування типів елементів auth_hotp_token і auth_totp_token (або лише одного з них)
і auth_token) зберігає облікові записи окремо та дозволяє використовувати те саме ім’я користувача
обох типів пристроїв. Таким чином, Auggie міг мати обліковий запис із тим самим
ім'я користувача для обох типів пристроїв. Цей підхід вимагає вказівки режиму пристрою
коли запитується операція, щоб можна було використати правильний тип елемента; це означає що
користувачі повинні знати, який тип пристрою вони використовують (можливо, прикріпивши до нього мітку).
Зверніться до важливих деталей щодо DACS ідентичності[22].
Команда -vfs використовується для налаштування або переналаштування типу елемента auth_token.
Лише ключі, які відповідають вимогам мінімальної довжини ключа (16 байтів) можна зберігати з
дані облікового запису (наприклад, с -набір or -імпорт). В інших контекстах вимога є
не виконується.
Секретний ключ зашифровано dacstoken коли він записується у файл облікового запису. The
тип елемента virtual filestore auth_token_keys визначає ключі шифрування для dacstoken
використовувати; в -інкейси та -вихідні ключі прапорці визначають альтернативи (див dacskey(1)[23]). Якщо
ключі шифрування втрачені, секретні ключі практично не підлягають відновленню.
Важливий
Якщо зловмисник виявляє секретний ключ, генерує придатні для використання паролі без володіння
жетон не складе труднощів. Принаймні для деяких апаратних маркерів ключ записується
у пристрій і не може бути змінено; в цьому випадку, якщо ключ витік пристрою
повинні бути знищені. У разі втрати токена відповідний обліковий запис слід відключити.
У випадку, якщо зловмисник знаходить втрачений токен або виявляє секретний ключ, маючи сильний
PIN-код, пов’язаний з обліковим записом, ускладнить його отримання зловмисником
доступ.
Важливий
· Цей метод автентифікації було перевірено на таких продуктах OTP:
· Authenex Ключ 3600[24] апаратний маркер одноразового пароля (HOTP);
· Фейтіан Технології[25] Апаратне забезпечення одноразового пароля OTP C100 і OTP C200
жетони, надані HyperSecu Інформація Systems[26]; і
· КЛЯТВА Знак[27] програмний додаток Арчі Коббса, який реалізує обидва
HOTP і TOTP на IPOD дотик, iPhone та IPad[28].
· Feitian Technologies iATH Lite[29] Програмна програма HOTP для iPod
Touch, iPhone та iPad.
Інші виробники, зацікавлені в підтримці своїх продуктів DACS він має
ласкаво просимо до DSS.
· фото[30]: Feitian OTP C200, iPod Touch із додатком OATH Token, Authenex A-Key
3600 (за годинниковою стрілкою зверху зліва)
· Хоча ця реалізація має працювати лише з подібними, сумісними продуктами
ці продукти офіційно підтримуються DACS.
· Апаратні токени можна придбати безпосередньо у постачальників.
· Будь-які проблеми з використанням токенів для автентифікації DACS не є
відповідальність постачальника токенів.
Імпортуючий та Експорт ОТП Рахунки
Описи облікових записів і їх маркерів можна завантажувати або скидати (див -імпорт
та -експорт прапори). Це спрощує масове надання, резервне копіювання та переносимість. The
інформація про обліковий запис записана в простому, специфічному для програми (майже) форматі XML.
Формат, зрозумілий dacstoken складається з кореневого елемента ("otp_tokens"), за яким слідує
нуль або більше елементів "otp_token", по одному на рядок, кожен з обов'язковим і необов'язковим
атрибути (описані нижче). Оголошення XML має бути пропущено. Початковий пробіл і
порожні рядки ігноруються, як і однорядкові коментарі XML. Крім того, рядки з "#"
як перший непробільний символ ігноруються. Необов’язкові атрибути
присутнім призначаються значення за замовчуванням. Стандартним алгоритмом дайджесту є SHA1. Короткий атрибут
імена використовуються для економії місця. Нерозпізнані атрибути та атрибути, які не стосуються
режим пристрою, ігноруються. Одинарні або подвійні лапки (або обидва) в атрибуті XML
значення повинні бути замінені відповідним посиланням на сутність ("'" і """,
відповідно), як і символи «<» (менше ніж) і «&» (амперсанд). ">" (більше
ніж) символ може бути замінений на послідовність ">", але не на іншу сутність
посилання визнаються.
Визнаними атрибутами є:
· б:
база
-- основа для значення OTP
[Додатково:
10 (За замовчуванням),
16або 32]
· c:
протидія
-- поточне значення лічильника для HOTP, у шістнадцятковому форматі, якщо передує
через "0x" (або "0X"), десятковий в іншому випадку
[Додатково:
за замовчуванням 0]
· d:
ОТП пристрій режим
-- "c" (для HOTP)
або "t" (для TOTP)
[Вимагається]
· dn:
дайджест-назва
-- один із безпечних алгоритмів хешування
[Додатково:
SHA1 (за замовчуванням),
SHA224, SHA256,
SHA384, SHA512]
· доктор:
годинник-дрейф
-- налаштування годинника, у секундах, для TOTP
[Необов'язково]
· ек:
зашифрований ключ
-- зашифрований секретний ключ у кодуванні base-64
[Вимагається:
Лише записи облікового запису OTP]
· en:
увімкнено-статус
-- 1 для включеного,
0 для інвалідів
[Вимагається]
· к:
відкритий текстовий ключ
-- незашифрований секретний ключ
[Вимагається]
· lu:
Останнє оновлення
-- Unix час останнього оновлення запису
[Необов’язково: за умовчанням поточний час]
· nd:
nцифри
-- кількість цифр для значення OTP
[Додатково:
за замовчуванням 6 для HOTP,
8 для TOTP]
· p:
відкритий текст-PIN
-- текстове значення PIN-коду для облікового запису
[Вимагається:
якщо немає ph,
тільки для імпорту]
· ph:
хешований PIN-код
-- хешоване значення PIN-коду для облікового запису
[Додатково:
породжений dacstoken
лише для експорту та файлів облікового запису OTP]
· s:
серійний номер
-- рядок унікального ідентифікатора пристрою
[Вимагається]
· ts:
часовий крок
-- значення кроку за часом, у секундах, для TOTP
[Додатково:
за замовчуванням 30]
· ти:
ім'я користувача
-- дійсний DACS ім'я користувача, пов'язане з цим обліковим записом
[Вимагається]
У наступному прикладі описано два облікові записи, які можна створити за допомогою -імпорт прапор:
Безпека
Оскільки імпортовані записи містять незашифровані секретні ключі для пристроїв OTP,
експортований файл має бути зашифрованим (наприклад, за допомогою OpenSSL) або принаймні мати
відповідні дозволи для файлів.
примітки
Розробляється стандартний формат для надання пристрою OTP. Цей формат може бути
зрозуміло майбутньою версією dacstoken, або можна написати утиліту перетворення.
Стандартний формат, імовірно, буде значно складнішим, ніж формат DACS Формат.
ВАРІАНТИ
Крім стандартних dacsoptions[1], є довгий список прапорів командного рядка
визнано. Коли a ім'я користувача надано, значення за замовчуванням, пов’язані з цим обліковим записом, є
використовується, інакше використовуються рекомендовані або специфічні для реалізації значення за замовчуванням. Ці стандартні
значення зазвичай можна перевизначити в командному рядку. Деякі прапори дозволені лише з a
певний режим маркера (наприклад, -рахунок, -тотп-шоу) і їх зовнішній вигляд означає, що режим,
роблячи -моде прапор непотрібний; інші прапори не залежать від режиму (наприклад, -видалити,
-увімкнути). Використання взаємно несумісної комбінації прапорів є помилкою. Прапори, які є
безглузді з вибраною операцією ігноруються, хоча вони все ще означають режим.
Шістнадцяткові значення регістру не враховуються. Якщо значення лічильника потрібне, але не вказано
(наприклад, під час створення облікового запису) використовується початкове значення лічильника нуль.
Команда оп-спец визначає операцію, яку потрібно виконати, разом із нулем або більше зміна
прапори. Якщо оп-спец відсутній, -список виконується операція. Ан оп-спец є одним з
наступні:
-авт otp-значення
Цей прапор схожий на -підтвердити[31], крім:
· а ім'я користувача необхідний, з якого отримані всі параметри (наприклад, ключ);
· якщо обліковий запис має ПІН, його необхідно вказати;
· якщо обліковий запис призначено для маркера HOTP, лічильник буде оновлено під час автентифікації
є успішним.
Нульовий статус виходу вказує на успішну автентифікацію, тоді як будь-яке інше значення
означає помилку автентифікації.
- конвертувати ім'я файлу
Завантажте файл маркера облікового запису старішого формату (до випуску 1.4.25) з ім'я файлу ("-"
означає читати зі стандартного вводу), перетворити його в новіший формат і записати в стандартний вихід (як
by -експорт). Цей прапорець застарів, і цю можливість буде видалено в майбутньому
випуск DACS.
-створити
Створити обліковий запис для ім'я користувача, який ще не повинен існувати. В іншому це
працює як -набір[32]. Створюючи новий обліковий запис, -серійний потрібно і -кілька is
мається на увазі. Якщо ні -увімкнути прапорець надається під час створення облікового запису, - вимкнути мається на увазі.
Якщо ні -рахунок надається прапорець, використовується значення за замовчуванням нуль. Якщо один із позначок PIN-коду є
наведений PIN-код буде призначено обліковому запису, інакше обліковий запис не буде
мати PIN-код (або наявний PIN-код не буде змінено).
- поточний
Відображати поточний коефіцієнт переміщення (тобто значення лічильника для HOTP або інтервал
значення для TOTP) і очікуваний OTP для ім'я користувача. Для HOTP лічильник розширений. все
параметри беруться з рахунку.
-видалити
Видалити обліковий запис для ім'я користувача. Секретний ключ пристрою та інші робочі
параметри будуть втрачені.
-дельпін
Видаліть PIN-код, якщо він є, в обліковому записі для ім'я користувача, залишаючи обліковий запис без a
PIN-код.
-експорт
Напишіть інформацію про всі облікові записи або лише про один обліковий запис, якщо ім'я користувача надається, до
stdout. Однак, якщо вибрано режим, буде лише облікові записи, які мають цей режим
написаний. Ця інформація може бути перезавантажена за допомогою -імпорт or -імпорт-заміна. Вихід
має зберігатися в зашифрованому вигляді або принаймні мати права доступу до файлу
встановити відповідним чином. Наприклад:
% dacstoken -uj ПРИКЛАД -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Пізніше ви можете зробити щось на кшталт:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj ПРИКЛАД -імпорт -
-h
-допомога
Відобразити довідкове повідомлення та вийти.
-hotp-шоу Num
дисплей Num послідовні паролі HOTP із заданого значення лічильника та ключа. The
-рахунок прапорець можна використовувати для визначення початкового значення лічильника. Ключ може бути
вказано за допомогою -кілька, - ключ-файлабо - ключ-підказка. Якщо ім'я користувача надається,
початкове значення лічильника та ключ отримуються з облікового запису користувача HOTP, якщо немає жодного з них
значення перевизначено в командному рядку; збережене значення лічильника облікового запису не є
змінений. Це в основному призначено для налагодження.
-імпорт ім'я файлу
-імпорт-заміна ім'я файлу
Завантажити інформацію про обліковий запис і маркер із ім'я файлу; якщо ім'я файлу є "-", стандартний вхід читається.
Якщо вибрано режим, читатимуться лише облікові записи, які мають цей режим. с -імпорт Це є
помилка, якщо імпортований обліковий запис уже існує, і обробка припиняється; -імпорт-заміна
замінить наявний обліковий запис імпортованими даними.
-l
-список
-довго
If ім'я користувача надається відображення інформації про відповідний рахунок; якщо
-серійний надано прапорець, вивести інформацію про обліковий запис із вказаним серійним номером
число; інакше перерахуйте всі облікові записи. Якщо -моде прапор надається в будь-якому з цих випадків,
однак перелічіть лише ті облікові записи, для яких указано режим роботи. Якщо це
прапор повторюється, або з -довго прапорець, відображається більше деталей: тип пристрою,
стан облікового запису, серійний номер пристрою, значення лічильника (для HOTP), значення дрейфу годинника (для
TOTP), незалежно від того, чи має обліковий запис PIN-код (позначений символом «+» або «-»), а також
час і дата останньої зміни облікового запису.
-перейменувати нового імені користувача
Перейменуйте наявний обліковий запис для ім'я користувача бути нового імені користувача, і змінити новий
обліковий запис за допомогою аргументів командного рядка (як у випадку з -набір[32]). Оскільки для цього потрібні два кроки
які не виконуються атомарно, у разі виникнення помилки це можливо для нового облікового запису
бути створений, а старий обліковий запис все ще існувати.
-набір
Команда -набір прапорець використовується для зміни існуючого облікового запису ім'я користувача на основі одного або кількох
аргументи модифікатора (-база, -рахунок, - цифри, - вимкнути or -увімкнути, -кілька (Або - ключ-файл
or - ключ-підказка), -Полюсні (Або -пін-файл or -pin-підказка), або -серійний). Режим також може бути
змінено шляхом уточнення -моде, але параметри режиму, пов’язані з обліковим записом
буде втрачено (наприклад, поточне значення лічильника буде видалено, якщо обліковий запис HOTP є
змінено на обліковий запис TOTP) і загальні параметри (наприклад, серійний номер).
зберігається, якщо не перевизначено в командному рядку.
-синхронізація список паролів
У режимі HOTP це спроба синхронізувати сервер із маркером для ім'я користувача,
список паролів — це список із трьох послідовних паролів, розділених комами, які створює
токен користувача (ця функція «автоматичної синхронізації» також доступна через
local_token_authenticate[3]). Дана послідовність має збігатися з обчисленою
точно, враховуючи діючі експлуатаційні параметри; наприклад, початкові нулі є
важливий, як і система відображення та кількість діючих цифр OTP. Якщо
синхронізація успішна, користувач повинен мати можливість автентифікуватися за допомогою наступного
пароль, створений пристроєм. Вичерпний алгоритм пошуку з використанням збільшення
використовуються значення лічильника з обмеженням часу компіляції на максимальну кількість
обчислення. Пошук починається з поточного значення лічильника сервера, якщо тільки
один надається за допомогою -рахунок. У разі невдачі ця операція може тривати довго
до його закінчення; користувач повинен звернутися за допомогою до адміністратора.
У режимі TOTP спробуйте визначити, наскільки точно синхронізовано системний годинник з
годинник маркера та відобразити результат. Ця інформація може бути використана для оновлення
запис маркера користувача для компенсації погано синхронізованих годинників або для налаштування
параметри перевірки. Ключ токена та назва алгоритму дайджесту
отриманий за символічний запис, що належить ім'я користувача, якщо дано; інакше ключ
запитується, а алгоритм дайджесту для використання отримується з команди
рядок або за замовчуванням. Лише перший пароль у список паролів використовується.
-totp-timestep, - цифри та -totp-основа варіанти ефективні під час цієї операції.
-тест
Виконайте деякі самоперевірки, а потім вийдіть. Ненульовий статус виходу означає, що сталася помилка.
-тотп-шоу Num
Відобразити послідовність паролів TOTP з поточними параметрами:
розмір інтервалу (-totp-timestep), кількість цифр (- цифри), і основа (-база).
збережені параметри облікового запису не змінюються. Це в основному призначено для налагодження
цілей.
Якщо ім'я користувача надається (він має бути пов’язаний із пристроєм TOTP), ключ і
інші збережені параметри облікового запису використовуються, якщо вони не перевизначені командним рядком
прапори. Послідовність паролів для Num інтервали до і після поточного часу,
разом із паролем на поточний час друкуються.
Якщо ні ім'я користувача задано, програма запитує ключ (який повторюється) і використовує
прапорці командного рядка або значення параметрів за замовчуванням. Потім він видає пароль TOTP
для поточного часу кожного разу, коли натискається Return/Enter. Введення EOF негайно викликає
припинення.
-підтвердити otp-значення
If otp-значення є наступним очікуваним одноразовим паролем, повертає статус виходу нуль
вказувати на успіх; будь-яке інше значення вказує на невдачу. Якщо ім'я користувача задано параметри
для перевірки, включно з ключем, отримані з цього облікового запису, якщо не перевизначено на
командний рядок. Стан сервера не змінено; наприклад, лічильник HOTP не є
просунутий. Якщо ні ім'я користувача дається, -моде необхідно використовувати прапор і параметри
необхідно надати для цього режиму, включаючи ключ. Для режиму HOTP значення лічильника
повинні бути надані. Для режиму TOTP під час цього діють параметри командного рядка
перевірка. dacstoken перевірить чи otp-значення перевіряє параметри в
ефект
Наступні зміна прапори розуміються:
-всі
з -набір і ні ім'я користувача, застосувати зміни до всі облікові записи. Це можна використовувати
увімкнути або вимкнути всі облікові записи, наприклад. The -інкейси та -вихідні ключі прапори
заслужений. Якщо виникає помилка, обробка негайно припиняється, і в цьому випадку лише деякі
акаунти могли бути змінені.
-база Num
Скористайтесь Num як основу (основу) під час відображення OTP. Значення Num обмежено
10 (за промовчанням) 16або 32.
-рахунок Num
Це 8-байтове значення лічильника HOTP, яке потрібно встановити, виражене у вигляді шістнадцяткового значення, якщо йому передує
через "0x" (або "0X"), десятковий в іншому випадку. Початкові нулі можуть бути видалені. Це означає HOTP
режим. Для пристроїв з маркерами не повинно бути можливості скинути лічильник (лічильник за модулем
переповнення), оскільки це призведе до повторення послідовності паролів, припускаючи
що ключ не змінений; реалізація програмного забезпечення може не мати цього обмеження,
однак, остерігайтеся наслідків для безпеки.
- цифри Num
Скористайтесь Num цифр під час відображення OTP. Значення Num обмежено 6, 7, 8 (
за замовчуванням), або 9 з базою 10. Це обмежено 6 з базою 32 і ігнорується
база 16 (шістнадцятковий вихід).
- вимкнути
Відключити обліковий запис для ім'я користувача, local_token_authenticate модуль, і -авт та
-підтвердити прапори, не дозволять користувачеві автентифікуватися, доки не буде створено обліковий запис
увімкнено, хоча інші операції все ще можуть виконуватися з обліковим записом. Якщо -увімкнути
згодом використовується, обліковий запис стане придатним для автентифікації та є
відновлено до стану на момент вимкнення. Це не помилка, якщо вимкнути
вже відключений обліковий запис.
-увімкнути
Увімкнути обліковий запис для ім'я користувача, local_token_authenticate модуль дозволить
користувача для автентифікації. Увімкнення вже активованого облікового запису не є помилкою.
-hotp-вікно Num
Якщо очікуваний пароль HOTP не збігається з наданим паролем, спробуйте збігатися до
Num паролі після очікуваного пароля в послідовності. Значення нуль для Num
вимикає цей пошук.
-інкейси item_type
Для розшифровки секретних ключів використовуйте сховище, визначене за item_type, імовірно
налаштовано в dacs.conf.
-кілька keyval
Скористайтесь keyval як секретний ключ, виражений у вигляді рядка шістнадцяткових цифр.
Безпека
Надання ключа в командному рядку є небезпечним, оскільки він може бути видимим
інші процеси.
- ключ-файл ім'я файлу
Прочитайте секретний ключ, виражений у вигляді рядка шістнадцяткових цифр, з ім'я файлу. Якщо ім'я файлу is
"-", ключ читається з stdin.
- ключ-підказка
Запит секретного ключа, вираженого у вигляді рядка шістнадцяткових цифр. Введення не повторюється.
-моде otp-режим
Це визначає (без урахування регістру) тип маркера (режим пристрою OTP) для використання
з -набір, -створити, а також операції перевірки та синхронізації. The otp-режим може бути
counter або hotp для режиму лічильника, або time або totp для режиму на основі часу. Це
під час створення нового облікового запису необхідний прапор.
-вихідні ключі item_type
Для шифрування секретних ключів використовуйте сховище, визначене за item_type, імовірно визначено
в dacs.conf.
-Полюсні pinval
Скористайтесь pinval як секретний PIN-код для облікового запису.
Безпека
Введення PIN-коду в командному рядку небезпечно, оскільки він може бути видимим для
інші процеси.
-pin-обмеження вул
Замість використання PASSWORD_CONSTRAINTS[14], викор вул (з однаковим синтаксисом і
семантика), щоб описати вимоги до PIN-коду.
примітки
Вимоги до PIN-коду застосовуються до PIN-кодів, отриманих за допомогою позначки командного рядка, і до них
отримано через імпорт (за допомогою атрибута "p"). Вимоги ні
однак "заднім числом", тому зміна вимог не впливає на PIN-коди
існуючі облікові записи або імпорт облікових записів, які були раніше експортовані (маючи a
атрибут "ph").
-пін-файл ім'я файлу
Прочитайте секретний PIN-код із ім'я файлу. Якщо ім'я файлу «-», PIN-код зчитується зі стандартного вводу.
-pin-підказка
Запит секретного PIN-коду. Введення не повторюється.
-рнд
Зарезервовано для подальшого використання.
- насіння вул
Зарезервовано для подальшого використання.
-серійний вул
Серійний номер, вул, є (імовірно) унікальним ідентифікатором, призначеним маркеру.
Цей параметр використовується з -набір, -створити та -список прапори. Серійний номер
ідентифікує конкретний пристрій OTP і не потрібно зберігати в таємниці. Властивість унікальності
застосовується в одиниці зберігання типу предмета; тобто серійні номери всіх HOTP
пристрої повинні бути унікальними, серійні номери всіх пристроїв TOTP мають бути унікальними, і якщо
облікові записи для двох типів пристроїв об’єднані, всі серійні номери пристроїв повинні бути
унікальний. Приймається будь-який рядок для друку. Якщо програмний клієнт генерує
паролі, ви можете використовувати серійний номер пристрою або вибрати будь-який відповідний опис
рядок, ще не призначений пристрою.
примітки
Юрисдикція, яка дозволяє (або з часом може дозволити) як апаратні маркери, так і
клієнтські додатки, що створюють програмне забезпечення, повинні розглянути можливість прийняття формалізованого
схема іменування своїх токенів. Наприклад, адміністратор може додати "-hw" до
серійний номер постачальника для формування dacstoken серійний номер. Для програмного забезпечення
маркери, адміністратор може створити a dacstoken порядковий номер шляхом додавання
"-sw" до серійного номера постачальника пристрою.
-totp-дельта Num
Відрегулюйте базовий час за допомогою Num інтервали (кожен розмір кроку кількість секунд), коли
обчислення TOTP. The Num може бути негативним, нульовим або позитивним. Це використовується для виправлення
для неадекватно синхронізованих годинників.
-тотп-дрейф nwindows
Для TOTP використовуйте розмір вікна nwindows (за розміром інтервалу) для
перевірка. Якщо nwindows is 0, обчислене значення TOTP має відповідати заданому
точно. Якщо nwindows is 1Наприклад, dacstoken намагатиметься відповідати заданому TOTP
значення в попередньому, поточному та наступному інтервалах. Це дозволяє годинникам в
система працює dacstoken (Або local_token_authenticate) і пристрій для створення токенів
бути менш добре синхронізованим.
Безпека
Хоча він компенсує погано синхронізовані годинники, збільшуючи значення
nwindows послаблює систему, подовжуючи термін дії одноразового пароля.
-totp-хеш ALG
Скористайтесь ALG як алгоритм дайджесту з TOTP. Значення ALG обмежується (відмінком
нечутливо) SHA1 (за замовчуванням), SHA256 або SHA512.
-totp-timestep сухий
Скористайтесь сухий як розмір інтервалу під час обчислення TOTP. Воно повинно бути більше нуля. The
за замовчуванням 30 секунд.
Безпека
Хоча він компенсує погано синхронізовані годинники, збільшуючи значення
сухий послаблює систему, подовжуючи термін дії одноразового пароля.
-vfs vfs_uri
Скористайтесь vfs_uri відмінити VFS[33] діюча директива конфігурації. Це може бути
використовується для налаштування або переналаштування auth_token, auth_hotp_token або auth_totp_token на
вказати метод зберігання для облікових записів, з якими діють.
Окрім повідомлень про помилки, які друкуються зі стандартною помилкою, увесь вивід надходить до
стандартний вихід.
Як правило, а dacsoption буде вказано для вибору юрисдикції, від імені якої
облікові записи знаходяться в управлінні.
ПРИКЛАДИ
Ці приклади припускають, що назва юрисдикції, яку слід використовувати, це EXAMPLE та її федерація
домен example.com.
Щоб використовувати цей метод автентифікації, a DACS адміністратор може виконати наступні дії
для кожного пристрою OTP, призначеного користувачеві:
1. Отримайте підтримуваний маркер, перегляньте, як він використовується для автентифікації, і виберіть значення
для різних параметрів. Отримати секретний ключ для пристрою у постачальника; для
програмований пристрій, виберіть відповідний випадковий ключ і запрограмуйте його в пристрій.
Поточні значення лічильника також можна отримати від постачальника, хоча це так і є
швидше за все ініціалізовано до нуля; для програмованого пристрою встановіть значення лічильника на
нуль. Вирішіть, чи потрібен буде PIN-код (див TOKEN_REQUIRES_PIN[9]). Якщо програмне забезпечення
використовується клієнт, установіть програмне забезпечення на пристрій користувача (або попросіть користувача зробити це
так) і налаштуйте програмне забезпечення.
2. Вирішіть, де буде зберігатися інформація облікового запису, і, якщо необхідно, додайте відповідний
VFS[33] директива для dacs.conf. За замовчуванням (знаходиться в site.conf) обліковий запис підтримується
інформація у файлі під назвою auth_tokens у кожній юрисдикції за замовчуванням приватний
область:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. Згенеруйте ключі для шифрування інформації облікового запису (див Жетони та secret ключі[34]) і
вирішити, де вони будуть зберігатися; наприклад (ваш ідентифікатор користувача, ідентифікатор групи, шлях,
назва юрисдикції та домен федерації можуть відрізнятися):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj ПРИКЛАД -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
При необхідності додайте відповідний VFS[33] директива для dacs.conf; за замовчуванням, тобто
використовуваний вище, зберігає інформацію про обліковий запис у файлі під назвою auth_token_keys
приватна зона кожної юрисдикції за умовчанням:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. Якщо вам потрібно, щоб користувачі входили через dacs_authenticate(8)[2], необхідно налаштувати a
відповідне положення Auth у dacs.conf, наприклад:
URL-адреса "токен"
СТИЛЬ "пас"
КОНТРОЛЬ "достатньо"
5. Адміністратор може діяти кількома способами, залежно від того, скільки
зусилля можуть бути зроблені користувачами (наприклад, чи можна їм довіряти, їхні технічні
здатність), кількість користувачів (кілька або тисячі) і рівень безпеки
вимагається.
1. підготуйте файл, що містить XML запис[35] для кожного облікового запису, який буде створено; якщо
Використовуйте PIN-коди, призначте випадковий PIN-код кожному обліковому запису;
2. використовувати -імпорт[36] прапор для створення облікових записів;
3. надати користувачеві маркерний пристрій, ім’я користувача та (якщо необхідно) початковий PIN-код
(можливо, підтвердження особи), надання будь-якої необхідної демонстрації та
інструкції;
4. попросіть користувача встановити або скинути PIN-код для облікового запису та попросити користувача увійти
використання маркера для підтвердження правильності операції.
Щоб створити вимкнений обліковий запис для користувача bobo для пристрою HOTP:
% dacstoken -uj ПРИКЛАД -mode hotp -serial 37000752 -key-file bobo.key -create bobo
Секретний ключ облікового запису (який ще не повинен існувати) зчитується з файлу
bobo.key. Нові облікові записи вимкнено за замовчуванням; використовувати -увімкнути щоб створити активний обліковий запис.
Після створення облікового запису його можна синхронізувати з токеном. Для синхронізації
маркер HOTP для користувача bobo:
% dacstoken -uj ПРИКЛАД -sync 433268,894121,615120 bobo
У цьому прикладі конкретний маркер створив три послідовні паролі 433268,
894121 і 615120. Зауважте, що рядок послідовності пароля, який слідує за -синхронізація прапор є
один аргумент, який не може мати жодних вбудованих пробілів. Якщо ключ для цього токена є
19c0a3519a89b4a8034c5b9306db, наступний пароль, згенерований цим маркером, має бути 544323
(із зустрічним значенням 13). Це можна перевірити за допомогою -hotp-шоу:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000а: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Щоб увімкнути обліковий запис для користувача bobo:
% dacstoken -uj ПРИКЛАД -enable -set bobo
Щоб встановити PIN-код і активувати обліковий запис для користувача bobo:
% dacstoken -uj ПРИКЛАД -enable -pin "CzAy" -set bobo
Щоб детально перерахувати всі облікові записи:
% dacstoken -uj ПРИКЛАД -довгий
Команда -список прапор є зайвим, оскільки це операція за замовчуванням. The -моде, -рахунок, І т.д.
модифікатори не впливають на перерахування.
Щоб перерахувати лише обліковий запис bobo:
% dacstoken -uj ПРИКЛАД -list bobo
Статус виходу буде ненульовим, якщо цей користувач не має облікового запису.
Для відображення облікового запису пристрою з серійним номером 37000752:
% dacstoken -uj ПРИКЛАД -serial 37000752
Серійний номер, який має однозначно ідентифікувати токен, часто друкується на токені
або може бути відображено маркером.
Щоб встановити значення лічильника для наявного облікового запису bobo:
% dacstoken -uj ПРИКЛАД -лічильник 9 -set bobo
Цю операцію можна використовувати для тестування або з програмним маркером. The -синхронізація операція така
більше підходить для апаратного маркера.
Щоб змінити PIN-код для імені користувача bobo:
% dacstoken -uj ПРИКЛАД -pin-prompt -set bobo
Програма запропонує ввести новий PIN-код.
Щоб використати файл альтернативного облікового запису, /secure/auth_tokens:
% dacstoken -uj ПРИКЛАД -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
Щоб використовувати нові ключі (з тими самими припущеннями, що й раніше), додайте відповідну директиву VFS
dacs.conf; за замовчуванням тип елемента auth_token_keys_prev визначається наступним чином:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj ПРИКЛАД -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj ПРИКЛАД -inkeys auth_token_keys.prev -set
ДІАГНОСТИКА
Програма завершує роботу 0 або 1, якщо сталася помилка.
Використовуйте dacstoken онлайн за допомогою сервісів onworks.net
