Đây là lệnh dacsauth có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
dacsauth - kiểm tra xác thực
SYNOPSIS
Dacsauth [-m auth-mô-đun-spec] […] [-r role-module-spec] […] [-DChỉ thị=giá trị]
[-aux]
[-fj họ tên] [-fn tên ăn] [-h | -Cứu giúp] [-Tôi] [-NS mức đăng nhập]
[-p mật khẩu]
[-pf hồ sơ] [-lời nhắc] [-q] [{-u | -người dùng} tên truy nhập] [-v]
dacsauth-mô-đun
MÔ TẢ
Chương trình này là một phần của DAC trên.
Sản phẩm Dacsauth kiểm tra tiện ích xem vật liệu xác thực đã cung cấp có đáp ứng xác thực hay không
yêu cầu và chỉ ra kết quả thông qua trạng thái thoát của quy trình. Nó tương tự như
dacs_authenticate(8)[1] và dacscreed(1)[2.
Dacsauth cung cấp một cách để các tập lệnh và các chương trình khác tận dụng DAC xác thực
cơ sở hạ tầng. Họ có thể sử dụng xác thực thành công như một dạng thô của
sự ủy quyền; chỉ người dùng cung cấp mật khẩu chính xác mới có thể được phép chạy
chẳng hạn như chương trình. Hoặc họ có thể trả lại một số loại thông tin xác thực sau khi thành công
xác thực, hoặc có thể sử dụng dacs_auth_agent(8)[3] để trở lại DAC thông tin xác thực.
Dacsauth cũng có thể được sử dụng để truy xuất thông tin vai trò được liên kết với một người dùng nhất định.
Dacsauth không đọc bất kỳ DAC các tệp cấu hình. Mọi thứ cần thiết để thực hiện kiểm tra
phải được chỉ định như một đối số.
Mẹo
If Dacsauth sử dụng mô-đun tích hợp để thực hiện xác thực hoặc tra cứu các vai trò, Không
máy chủ thành phần is cần phải. Điều này có nghĩa là bạn có thể sử dụng Dacsauth Mà không cần phải
truy cập hoặc thậm chí cấu hình một máy chủ web, bao gồm cả Apache.
LỰA CHỌN
Các cờ dòng lệnh sau được nhận dạng. Ít nhất một -m cờ (để biểu diễn
kiểm tra xác thực), hoặc ít nhất một -r cờ phải được chỉ định (để tạo thành một vai trò
chuỗi mô tả cho danh tính và in nó ra stdout). Sự kết hợp của cả hai cờ là
được phép, trong trường hợp đó, một chuỗi mô tả vai trò chỉ được xuất ra nếu kiểm tra xác thực
là thành công.
-DChỉ thị=giá trị
Điều này tương đương với thiết lập Chỉ thị, một vị tướng DAC chỉ thị cấu hình, để
giá trị. Thấy dacs.conf(5)[4.
-aux
Chuỗi tiếp theo được cung cấp bởi -p, -pf, hoặc là -lời nhắc cờ sẽ là giá trị của
PHỤ TRỢ đối số xác thực. Điều này cung cấp một cách an toàn để vượt qua
thông tin bổ trợ, chẳng hạn như mã PIN, cho chương trình. Một lá cờ để lấy mật khẩu,
nếu có, phải đặt trước cờ này trên dòng lệnh.
-fj họ tên
Sử dụng họ tên, phải hợp lệ về mặt cú pháp, làm tên khu vực pháp lý. Nếu được yêu cầu
nhưng không được cung cấp, một giá trị bắt nguồn từ tên miền của máy chủ lưu trữ sẽ được sử dụng.
-fn tên ăn
Sử dụng tên ăn, phải hợp lệ về mặt cú pháp, làm tên liên kết. Nếu được yêu cầu
nhưng không được cung cấp, một giá trị bắt nguồn từ tên miền của máy chủ lưu trữ sẽ được sử dụng.
-h
-Cứu giúp
Hiển thị thông báo trợ giúp và thoát.
-Tôi
Nếu thành công, hãy in DAC nhận dạng đối với đầu ra tiêu chuẩn.
-NS mức đăng nhập
Đặt mức đầu ra gỡ lỗi thành mức đăng nhập (xem dac(1)[5]). Mức mặc định là
cảnh báo.
-m auth-mô-đun-spec
Mỗi loại kiểm tra xác thực được yêu cầu được mô tả bằng auth-mô-đun-spec
ngay sau đó -m lá cờ. Mỗi auth-mô-đun-spec về cơ bản là một
đại diện thay thế của một Xác thực điều khoản[6] và các chỉ thị của nó, được sử dụng bởi
dacs_authenticate(8)[1]. Cũng giống như thứ tự mà các mệnh đề Auth xuất hiện trong DAC
tệp cấu hình, thứ tự trong đó -m cờ xuất hiện có thể là quan trọng,
tùy thuộc vào điều khiển từ khóa. Trong quá trình xử lý, liên tiếp -m các thành phần là
các tên được chỉ định tự động, auth_module_1, auth_module_2, v.v., chủ yếu dành cho
mục đích báo cáo lỗi.
An auth-mô-đun-spec có cú pháp sau:
Sản phẩm mô-đun bắt đầu bằng tên của mô-đun tích hợp sẵn hoặc từ viết tắt hợp lệ
của nó, hoặc URL (tuyệt đối) của mô-đun xác thực bên ngoài (tương đương với
các URL[7] chỉ thị). Tiếp theo phải xuất hiện một từ khóa kiểu xác thực được công nhận
specifier (tương đương với STYLE[8] chỉ thị). Tiếp theo, điều khiển từ khóa theo sau,
giống với KIỂM SOÁT[9] chỉ thị trong điều khoản Auth. Sau điều khiển
từ khóa, các cờ được mô tả bên dưới có thể theo sau, theo bất kỳ thứ tự nào.
An auth-mô-đun-spec kết thúc khi cờ không hợp lệ đầu tiên (hoặc cuối các cờ) là
đã gặp.
Sản phẩm -O cờ tương đương với một TÙY CHỌN[10] chỉ thị.
Sản phẩm -Của cờ được theo sau bởi một đối số là tên của một tệp để đọc từ đó
các tùy chọn, một trên mỗi dòng, ở định dạng tên=giá trị. Dòng trống và dòng bắt đầu bằng
dấu '#' bị bỏ qua; lưu ý rằng những dòng này không bắt đầu bằng "-O" và dấu ngoặc kép chỉ đơn giản là
được sao chép và không được diễn giải. Các -Của cờ có thể được sử dụng để tránh đặt mật khẩu
dòng lệnh và giúp dễ dàng hơn khi viết các biểu thức mà nếu không sẽ có
chẳng hạn như được thoát ra một cách cẩn thận để ngăn việc giải thích bằng vỏ.
Sản phẩm -expr cờ tương đương với EXP[11] chỉ thị. Các -vfs cờ được sử dụng để
cấu hình VFS[12] chỉ thị theo yêu cầu của mô-đun này.
-môđun
Hiển thị danh sách các mô-đun xác thực và mô-đun vai trò được tích hợp sẵn, mỗi mô-đun vai trò và
sau đó thoát ra. Tên mô-đun chính tắc được in, theo sau là không hoặc nhiều hơn tương đương
Các từ viết tắt. Đối với mô-đun xác thực, kiểu xác thực được hiển thị. Liệt kê
các mô-đun có sẵn, hãy chạy lệnh:
% dacsauth-modules
Tập hợp các mô-đun xác thực và vai trò tích hợp sẵn có (được kích hoạt) được xác định
khi nào DAC được xây.
-p mật khẩu
Chỉ định mật khẩu để sử dụng (tương đương với PASSWORD tranh luận với
dacs_authenticate).
Bảo mật
Mật khẩu được cung cấp trên dòng lệnh có thể hiển thị với những người dùng khác trên cùng một
hệ thống.
-pf hồ sơ
Đọc mật khẩu để sử dụng từ hồ sơ (tương đương với PASSWORD tranh luận với
dacs_authenticate). Nếu hồ sơ là "-", thì mật khẩu được đọc từ đầu vào chuẩn
mà không cần nhắc nhở.
-lời nhắc
Nhắc mật khẩu và đọc nó từ stdin (tương đương với PASSWORD tranh luận với
dacs_authenticate). Mật khẩu không được lặp lại.
-q
Yên lặng hơn bằng cách giảm mức đầu ra gỡ lỗi.
-r vai-mô-đun-spec
Vai trò cho tên truy nhập có thể được xác định bằng cách đưa ra lá cờ này, ngay lập tức
Theo sau là một role-module-spec. Các -r cờ có thể được lặp lại và các vai trò kết quả
được kết hợp. Mỗi role-module-spec về cơ bản là một đại diện thay thế của một
Mệnh đề vai trò được sử dụng bởi dacs_authenticate(8)[13]. Kế tiếp -r các thành phần là
các tên được chỉ định, role_module_1, role_module_2, v.v., chủ yếu để báo cáo lỗi
mục đích.
A role-module-spec có cú pháp sau:
Sản phẩm mô-đun thành phần tương đương với mệnh đề Vai trò của URL[14] chỉ thị và là
hoặc tên của mô-đun vai trò tích hợp sẵn có sẵn, chữ viết tắt hợp lệ của mô-đun đó,
hoặc URL (tuyệt đối) của mô-đun vai trò bên ngoài.
Cờ có thể theo sau mô-đun thành phần, theo bất kỳ thứ tự nào. MỘT role-module-spec kết thúc khi
gặp cờ không hợp lệ đầu tiên (hoặc cuối cờ).
Sản phẩm -O cờ tương đương với một TÙY CHỌN[10] chỉ thị.
Sản phẩm -Của cờ được theo sau bởi một đối số là tên của một tệp để đọc từ đó
các tùy chọn, một trên mỗi dòng, ở định dạng tên=giá trị. Dòng trống và dòng bắt đầu bằng
dấu '#' bị bỏ qua; lưu ý rằng những dòng này không bắt đầu bằng "-O" và dấu ngoặc kép chỉ đơn giản là
được sao chép và không được diễn giải. Các -Của cờ có thể được sử dụng để tránh đặt mật khẩu
dòng lệnh và giúp dễ dàng hơn khi viết các biểu thức mà nếu không sẽ có
chẳng hạn như được thoát ra một cách cẩn thận để ngăn việc giải thích bằng vỏ.
Sản phẩm -expr cờ tương đương với EXP[11] chỉ thị. Các -vfs cờ được sử dụng để
cấu hình VFS[12] chỉ thị được yêu cầu bởi mô-đun.
-u tên truy nhập
-người dùng tên truy nhập
Tên người dùng để xác thực (tương đương với USERNAME tranh luận với
dacs_authenticate). Tên người dùng này được liên kết ngầm với
liên đoàn và quyền tài phán (xem -fn[15] và -fj[16] cờ).
-v
Sản phẩm -v cờ chạm mức đầu ra gỡ lỗi để gỡ lỗi hoặc (nếu lặp lại) theo dõi.
VÍ DỤ
Bảo mật
If Dacsauth sử dụng mô-đun tích hợp để thực hiện xác thực, nó phải chạy setuid hoặc
setgid để có đủ đặc quyền truy cập vào tệp mật khẩu được yêu cầu (giống nhau
đúng với các mô-đun vai trò được tích hợp sẵn). Nếu nó sử dụng một mô-đun bên ngoài, mô-đun đó sẽ
cần thực thi với đủ đặc quyền để truy cập DAC khóa mật mã,
cụ thể là liên kết_kỳ và có thể DAC hoặc các tệp mật khẩu hệ thống; ngoại thương
sau đó mô-đun sẽ cần thực thi với đủ đặc quyền để truy cập vào bất kỳ tệp nào mà nó
đòi hỏi.
Đảm bảo sử dụng các khóa liên kết đúng cho liên kết của bạn. Tham khảo
mô-đun xác thực trong hai hoặc nhiều liên kết có thể sẽ không hoạt động.
Dacsauth do đó thông thường không nên chạy dưới dạng UID của người dùng gọi nó
(trừ khi điều đó xảy ra với root) vì nó sẽ không thể truy cập thông tin
nó yêu cầu. Điều này cũng sẽ ngăn người dùng "gian lận" (ví dụ: bằng cách đính kèm vào
đang chạy mô-đun với trình gỡ lỗi).
Ví dụ này xác thực người dùng "bobo" bằng mật khẩu "kiểm tra" đối với DAC tệp mật khẩu
/ usr / local / dacs / conf / passwd:
% dacsauth -m passwd passwd yêu cầu
-vfs "[passwds] dacs-kwv-fs: / usr / local / dacs / conf / passwd" -q -u bobo -p kiểm tra
Nếu trạng thái thoát của lệnh bằng XNUMX, kiểm tra xác thực đã thành công, nếu không thì
thất bại.
Ví dụ sau cố gắng xác thực "bobo" đối với tệp mật khẩu Unix của cô ấy. Các
chương trình nhắc nhập mật khẩu.
% dacsauth -m unix passwd bắt buộc -u bobo -prompt
Trong ví dụ tiếp theo, Dacsauth cố gắng xác thực "bobo" qua NTLM trên
Winders.example.com:
% dacsauth -m ntlm passwd Suff -OSAMBA_SERVER = "winders.example.com" -prompt -u bobo
Ví dụ này tương tự như ví dụ trước, ngoại trừ một mô-đun xác thực bên ngoài
được sử dụng và mật khẩu được đọc từ một tệp. Do mô-đun bên ngoài, bổ sung
cấu hình phải được cung cấp; cụ thể là vị trí của liên kết_ khóa và
tên liên đoàn và khu vực tài phán phải được chỉ định.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd đủ -OSAMBA_SERVER = "winders.example.com" \
-fn VÍ DỤ -fj FEDROOT -u bobo -pf mypass \
-DVFS = "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / ví dụ / Liên đoàn_keys"
Để xác thực chống lại Google[17] tài khoản [email được bảo vệ], người ta có thể sử dụng:
% dacsauth -m http passwd đủ \
-OAUTH_URL = "https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER = Email -OPASSWORD_PARAMETER = Mật khẩu \
-Oservice = xapi -Osource = DSS-DACS-1.4 -prompt -u [email được bảo vệ]
Trong ví dụ sau, một biểu thức được đánh giá để xác định xem xác thực
nên thành công. Người dùng ("bobo") được nhắc nhập mật khẩu. Chỉ khi chuỗi "foo" là
xác thực sẽ thành công. Một ví dụ thực tế hơn có thể gọi một chương trình khác đến
chẳng hạn như giúp đưa ra quyết định.
% dacsauth -m expr expr Suffi \
-expr '$ {Args :: PASSWORD} eq "foo"? $ {Args :: USERNAME}: "" '-user bobo -prompt
Xác thực dựa trên Apache htdigest tệp mật khẩu được thực hiện như sau
ví dụ, nơi mật khẩu được đọc từ stdin:
% echo "kiểm tra" | thông báo apache dacsauth -m đủ \
-OAUTH_MODULE = mod_auth_digest \
-OAUTH_FILE = / usr / local / apache2 / conf / password.digest \
-OAUTH_REALM = "Khu vực xác thực thông báo DACS" \
-u bobo -pf -
Xác thực qua mô-đun PAM hoạt động khác với các mô-đun khác - và hơn thế nữa
phức tạp để sử dụng - bởi vì Dacsauth có thể cần phải chạy nhiều lần, tùy thuộc vào
thông tin PAM yêu cầu. Thay vì trả lại quyết định có / không, Dacsauth có thể in
lời nhắc để biết thêm thông tin về stdout. Vui lòng xem lại các chi tiết hoạt động được trình bày trong
dacs_authenticate(8)[18] và vui vẻ(8)[19] trước khi cố gắng sử dụng mô-đun này.
Ví dụ sau minh họa việc sử dụng mô-đun từ dòng lệnh. Một khi cơ bản
ý tưởng được hiểu, cần phải rõ ràng cách viết một kịch bản để thực hiện
các lần lặp cần thiết. Các chi tiết trong ví dụ này, chẳng hạn như đường dẫn, có thể cần được điều chỉnh cho
môi trường của bạn. Lưu ý rằng trong ví dụ này, tên người dùng không được chỉ định trong lần đầu tiên
Dacsauth được chạy, mặc dù nó có thể được nếu nó được biết đến.
% dacsauth -m pam được nhắc là đủ \
-vfs "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / dss / Liên đoàn_keys" \
-OPAMD_HOST = localhost -OPAMD_PORT = dacs-pamd -fj VÍ DỤ THỬ NGHIỆM -fn
AUTH_PROMPT_VAR1 = "Đăng nhập:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam được nhắc là đủ \
-vfs "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / dss / Liên đoàn_keys" \
-OAUTH_PROMPT_VAR1 = "bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2 = "Mật khẩu:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam được nhắc là đủ \
-vfs "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / dss / Liên đoàn_keys" \
-OAUTH_PROMPT_VAR2 = "mật khẩu" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Lần đầu tiên Dacsauth được chạy trong ví dụ, nó trả về lời nhắc cho tên người dùng
("Đăng nhập:") được liên kết với biến giao dịch AUTH_PROMPT_VAR1 và
mã định danh giao dịch (AUTH_TRANSID). Cái sau phải được chuyển cho cái tiếp theo
hành quyết của Dacsauth. Lần chạy thứ hai của Dacsauth chuyển tên người dùng ("bobo") và
trả về một lời nhắc khác ("Mật khẩu:") được liên kết với biến giao dịch
AUTH_PROMPT_VAR2. Lần chạy thứ ba chuyển mật khẩu ("apassword") nhưng không có lời nhắc nào
trả về, cho biết rằng phiên đã hoàn tất và trạng thái thoát của chương trình phản ánh
kết quả của xác thực.
Mẹo
Liệu Dacsauth yêu cầu mật khẩu để truy xuất các vai trò phụ thuộc vào các vai trò cụ thể
mô-đun đang được sử dụng. Ví dụ: mật khẩu không được yêu cầu bởi local_unix_roles[20] hoặc
local_roles[21] để có được vai trò, nhưng local_ldap_roles[22] có thể sẽ cần một
mật khẩu để liên kết với thư mục và nhận các vai trò.
Ví dụ này in chuỗi vai trò cho người dùng "bobo" bằng cách gọi
local_unix_roles[20] mô-đun:
% dacsauth -r unix -u bobo
bobo, wheel, www, người dùng
Ví dụ tiếp theo tương tự như ví dụ trước, ngoại trừ một mô-đun vai trò bên ngoài được sử dụng:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS = "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / Liên đoàn_keys" \
-fn VÍ DỤ -u bobo
bobo, wheel, www, người dùng
Mô-đun vai trò bên ngoài có thể được thực thi trên một máy chủ khác với máy chủ đang chạy
Dacsauth. Cung cấp Dacsauth đã được cài đặt và một tệp liên kết_kết hợp phù hợp là
có sẵn trên máy chủ địa phương, máy chủ địa phương không cần phải là DAC quyền tài phán hoặc có bất kỳ
khác DAC cấu hình.
Ví dụ sau in ra vai trò chuỗi[23] cho người dùng "bobo", được biết đến trong
thư mục theo Tên chung "Bobo Baggins", sử dụng (bên ngoài) local_ldap_roles[22]
mô-đun và phương pháp liên kết "trực tiếp":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of / usr / local / dacs / ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS = "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / Liên đoàn_keys" \
-fn VÍ DỤ -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domain_Admins, Quản trị viên
Vì có quá nhiều cờ để đặt dễ dàng và chính xác trên dòng lệnh,
các tùy chọn cần thiết để thực hiện việc này được đọc từ một tệp được chỉ định bởi -Của cờ.
Điều này cũng cung cấp một cách an toàn hơn để chuyển mật khẩu vào chương trình; đảm bảo rằng quyền truy cập
đối với tệp bị hạn chế một cách thích hợp. Tập tin
/ usr / local / dacs / ldap_roles_options_direct có thể chứa cấu hình như sau:
LDAP_BIND_METHOD = trực tiếp
LDAP_ADMIN_URL * = "ldap: //winders.example.com/CN=". mã hóa (url, $ {Args :: DACS_USERNAME}). ", CN = Người dùng, DC = ví dụ, DC = com"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Ví dụ sau giống như ví dụ trước, ngoại trừ việc nó sử dụng liên kết "gián tiếp"
và do đó không cần cung cấp Tên chung của người dùng:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of / usr / local / dacs / ldap_roles_options_indirect -u bobo \
-DVFS = "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / Liên đoàn_keys" \
-fn VÍ DỤ -fj FEDROOT -p bobospassword
DnsAdmins, Print_Operators, Domain_Admins, Quản trị viên
Tệp / usr / local / dacs / ldap_roles_options_indirect có thể chứa cấu hình như
điều này:
LDAP_BIND_METHOD = gián tiếp
LDAP_ADMIN_URL = ldap: //winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Tìm kiếm trong Người dùng ...
LDAP_SEARCH_ROOT_DN = CN = Người dùng, DC = ví dụ, DC = com
LDAP_ADMIN_PASSWORD = theSecretAdminPassword
LDAP_SEARCH_FILTER * = "(sAMAccountName = $ {Args :: DACS_USERNAME})"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Giả sử một người muốn sử dụng Dacsauth để xác thực người dùng qua LDAP theo cách tương tự như
cấu hình dacs.conf này:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE "mật khẩu, add_roles"
CONTROL "bắt buộc"
LDAP_BIND_METHOD "trực tiếp"
LDAP_USERNAME_URL * '"ldap: //winders.example.com/cn=". mã hóa (url, $ {Args :: USERNAME}). ", cn = Người dùng, dc = ví dụ, dc = cục bộ" '
LDAP_USERNAME_EXPR * '"$ {LDAP :: sAMAccountName}"
LDAP_ROLES_SELECTOR * '"$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): "" '
Một tệp như thế này (ví dụ: / usr / local / dacs / ldap_auth_options_direct) sẽ chứa
các chỉ thị sau:
LDAP_BIND_METHOD = trực tiếp
LDAP_USERNAME_URL * = "ldap: //winders.example.com/cn=". mã hóa (url, $ {Args :: USERNAME}). ", cn = Người dùng, dc = ví dụ, dc = cục bộ"
LDAP_USERNAME_EXPR * = "$ {LDAP :: sAMAccountName}"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Xác thực sau đó có thể được thực hiện bằng cách sử dụng một lệnh như sau:
% dacsauth -fj FedROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate đủ mật khẩu \
-Of / usr / local / dacs / ldap_auth_options_direct \
-DVFS = "[Liên đoàn_keys] dacs-fs: / usr / local / dacs / Liên đoàn / Liên đoàn_keys" \
-fn VÍ DỤ -u bobo -prompt
CHẨN ĐOÁN
Chương trình thoát 0 nếu xác thực thành công hoặc thoát 1 nếu xác thực không thành công hoặc
một lỗi xảy ra.
Sử dụng dacsauth trực tuyến bằng các dịch vụ onworks.net