dacstoken - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

dacstoken - quản lý mật khẩu một lần dựa trên băm

SYNOPSIS

dacstoken [dacoption[1]] [-tất cả] [-căn cứ num] [-quầy tính tiền num] [-chữ số num]
[-vô hiệu hóa | -có thể] [-hotp-cửa sổ num] [-inkey mục_loại]
[[-Chìa khóa bàn phím] | [-tài liệu quan trọng tên tập tin] | [-key-nhắc]] [-chế độ chế độ otp]
[-outkey mục_loại]
[[-Pin pinval] | [-pin-tệp tên tập tin] | [-pin-nhắc]] [-pin-các ràng buộc str]
[-rnd] [-hạt giống str] [-sử dụng str] [-totp-đồng bằng num] [-totp-trôi nwindows]
[-totp-băm loài rong]
[-totp-dấu thời gian giây] [-vfs vfs_uri] [thông số kỹ thuật] [tên truy nhập]

MÔ TẢ

Chương trình này là một phần của DAC trên.

Sản phẩm dacstoken quản lý tiện ích DAC tài khoản được liên kết với mật khẩu dùng một lần (OTP)
thiết bị tạo (thẻ) hoặc máy khách dựa trên phần mềm. Sử dụng các tùy chọn dòng lệnh, nó cũng
tính toán các giá trị OTP; thông số tài khoản mã thông báo có thể bị ghi đè, nhưng các tài khoản không đồng đều
yêu cầu.

Xác thực hai yếu tố mạnh mẽ có thể được cung cấp khi dacs_authenticate[2] được định cấu hình
sử dụng local_token_authenticate[3] mô-đun xác thực hoặc khi dacstoken Được sử dụng như
một chương trình độc lập để xác thực mật khẩu. Cả chế độ mật khẩu một lần dựa trên HMAC
(HOTP), dựa trên bộ đếm sự kiện và được chỉ định bởi RFC 4226[4], và dựa trên thời gian
chế độ mật khẩu một lần (TOTP), như được chỉ định bởi mới nhất IETF Bản nháp trên Internet[5] đề xuất,
được hỗ trợ. thêm vào hoạt động chế độ[6] được gọi là OCRA (TUYÊN THỆ Trả lời thách thức
Các thuật toán), được mô tả trong IETF Internet-Draft, chưa được hỗ trợ đầy đủ.

Chú thích
Phiên bản này của dacstoken kết hợp nhiều thay đổi không tương thích ngược
với bản phát hành 1.4.24a trở về trước. Một số cờ dòng lệnh hoạt động khác nhau, và
định dạng của tệp tài khoản đã thay đổi. Nếu bạn đã sử dụng lệnh này trước đó
bản phát hành, vui lòng tạo một bản sao lưu của tệp tài khoản mã thông báo của bạn và xem lại hướng dẫn sử dụng này
trang cẩn thận trước khi tiếp tục (lưu ý -đổi cờ [7] nói riêng).

Quan trọng
Không yêu cầu phần mềm do nhà cung cấp cung cấp bởi dacstoken để cung cấp chức năng của nó. Các
các thiết bị hiện được hỗ trợ không cần đăng ký hoặc tương tác cấu hình
với các nhà cung cấp và dacstoken làm không tương tác với nhà cung cấp ' máy chủ or sử dụng bất kì
độc quyền phần mềm. Phần mềm do nhà cung cấp cung cấp có thể được yêu cầu để thực hiện
tuy nhiên, khởi tạo hoặc cấu hình cho các thiết bị mã thông báo khác, và dacstoken làm
không cung cấp hỗ trợ như vậy cho họ.

Mỗi thiết bị mã thông báo thường tương ứng với chính xác một tài khoản được quản lý bởi
dacstoken, mặc dù một số nhà cung cấp sản xuất mã thông báo có thể hỗ trợ nhiều tài khoản.

Tóm lại, tiện ích này:

· Tạo và quản lý DAC tài khoản được liên kết với dựa trên phản đối và dựa trên thời gian
mật khẩu một lần

· Cung cấp chức năng kiểm tra và xác nhận

· Cung cấp khả năng xác thực dòng lệnh

Bảo mật
Chỉ DAC quản trị viên sẽ có thể chạy thành công chương trình này từ
dòng lệnh. Tại vì DAC khóa và tệp cấu hình, bao gồm tệp được sử dụng để
tài khoản lưu trữ, phải được giới hạn cho quản trị viên, điều này thường sẽ là
nhưng một quản trị viên cẩn thận sẽ đặt quyền đối với tệp để từ chối quyền truy cập vào tất cả
những người dùng khác.

Chú thích
Sản phẩm dacs_token(8)[8] dịch vụ web cung cấp cho người dùng khả năng tự phục vụ hạn chế
chức năng đặt hoặc đặt lại mã PIN tài khoản của họ và đồng bộ hóa mã thông báo của họ. Nó cũng
có chế độ trình diễn để đơn giản hóa việc kiểm tra và đánh giá.

PIN (Tài khoản Mật khẩu)
A dacstoken tài khoản có thể tùy chọn có mã PIN (tức là mật khẩu) được liên kết với nó. Đến
xác thực với một tài khoản như vậy, người dùng phải cung cấp mật khẩu dùng một lần được tạo
bằng mã thông báo và mã PIN. Các TOKEN_REQUIRES_PIN[9] chỉ thị cấu hình xác định
có phải cung cấp mã PIN khi tạo hoặc nhập tài khoản hay không; nó không áp dụng trong
kết hợp với -delpin cờ, vì chỉ quản trị viên mới có thể thực hiện
chức năng đó.

Băm mã PIN được lưu trữ trong hồ sơ tài khoản thay vì chính mã PIN. Như nhau
phương pháp được sử dụng bởi dacspasswd(1)[10] và dacs_passwd(8)[11] được áp dụng và phụ thuộc vào
PASSWORD_DIGEST[12] và PASSWORD_SALT_PREFIX[13] chỉ thị có hiệu lực. Nếu như
PASSWORD_DIGEST[12] được định cấu hình, thuật toán đó được sử dụng, nếu không thì thời gian biên dịch
mặc định (SHA1) được sử dụng. Nếu người dùng quên mã PIN, mã PIN cũ sẽ không thể được khôi phục nên
phải bị xóa hoặc phải đặt một cái mới.

Một số thiết bị mã thông báo có khả năng mã PIN được tích hợp sẵn. Người dùng phải nhập mã PIN vào
thiết bị trước thiết bị sẽ phát ra mật khẩu một lần. "Mã PIN thiết bị" này là
hoàn toàn khác biệt với mã PIN tài khoản được quản lý bởi dacstokenvà sách hướng dẫn này là
chỉ quan tâm đến dacstoken GHIM. Mã PIN của thiết bị phải luôn được sử dụng khi có thể;
các dacstoken Mã PIN được khuyến nghị thực sự và là bắt buộc để xác thực hai yếu tố
(trừ khi một yếu tố xác thực bổ sung được áp dụng theo một số cách khác).

Vì chỉ quản trị viên mới được phép chạy lệnh này nên không có hạn chế nào được áp dụng
về độ dài hoặc chất lượng của mã PIN mà quản trị viên cung cấp; một thông báo cảnh báo
sẽ được phát ra, tuy nhiên, nếu mật khẩu được coi là yếu như được xác định bởi
PASSWORD_CONSTRAINTS[14] chỉ thị.

Một lần Mật khẩu
Cả hai loại thiết bị mật khẩu dùng một lần đều tính toán giá trị mật khẩu bằng cách sử dụng
thuật toán băm có khóa (RFC 2104[15], QUAN 198[16]). Trong phương pháp dựa trên bộ đếm, thiết bị
và máy chủ chia sẻ khóa bí mật và giá trị bộ đếm được băm để mang lại một số
giá trị hiển thị trong một cơ số nhất định với một số chữ số nhất định. Thành công
xác thực yêu cầu thiết bị và máy chủ tính toán mật khẩu phù hợp. Mỗi lần
thiết bị tạo ra một mật khẩu, nó tăng bộ đếm của nó. Khi máy chủ nhận được một kết quả phù hợp
mật khẩu, nó tăng bộ đếm của nó. Vì có thể hai quầy trở thành
không được đồng bộ hóa, thuật toán đối sánh của máy chủ thường sẽ cho phép mật khẩu của khách hàng
nằm trong "cửa sổ" giá trị bộ đếm. Phương pháp dựa trên thời gian cũng tương tự, chính
sự khác biệt là thời gian Unix hiện tại (được trả về bởi thời gian(3)[17], chẳng hạn) là
được sử dụng để thiết lập "cửa sổ bước thời gian" đóng vai trò là giá trị bộ đếm trong tính toán
của hàm băm an toàn. Vì đồng hồ thời gian thực trên thiết bị và máy chủ có thể không
đủ đồng bộ hóa, thuật toán đối sánh của máy chủ cũng phải cho phép máy khách
mật khẩu nằm trong một số cửa sổ bước thời gian cho các thiết bị này.

Bảo mật
Mã thông báo có thể được gán một khóa bí mật vĩnh viễn (đôi khi được gọi là hạt giống OTP) bởi
nhà sản xuất hoặc khóa có thể được lập trình. Khóa bí mật này được sử dụng bởi mã thông báo
thủ tục tạo mật khẩu và điều quan trọng là nó phải được giữ kín. Nếu mã thông báo
không thể lập trình, khóa được lấy từ nhà cung cấp (đối với mã thông báo HOTP, thường là
bằng cách cung cấp số sê-ri của thiết bị và ba mật khẩu liên tiếp bất kỳ). Một kỷ lục
của mỗi ánh xạ từ số sê-ri đến khóa bí mật phải được giữ ở một vị trí an toàn.

Nếu khóa bí mật có thể lập trình được, vì nó có khả năng được sử dụng với một ứng dụng khách phần mềm, nó sẽ
yêu cầu ít nhất là 128 độ dài bit; tối thiểu 160 bit được khuyến khích. Các
khóa được biểu thị bằng một chuỗi thập lục phân dài 16 (hoặc nhiều hơn) ký tự. Chìa khóa nên
được lấy từ nguồn bit ngẫu nhiên có chất lượng mật mã. Một số khách hàng có thể
có khả năng tạo một khóa phù hợp, nhưng bạn có thể sử dụng dacsexpr(1)[ba mươi]:

% dacsexpr -e "ngẫu nhiên (chuỗi, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"

Mẹo
Mã thông báo có thể được sử dụng cho các mục đích xác thực khác với đăng nhập bằng máy tính. Vì
ví dụ: bằng cách cung cấp số tài khoản, mã PIN và giá trị mã thông báo, khách hàng có thể nhanh chóng
được xác thực qua điện thoại, giảm hoặc loại bỏ nhu cầu đắt tiền và
câu hỏi bảo mật tốn thời gian.

Các thiết bị và ứng dụng mật khẩu dùng một lần có các thông số hoạt động sau.
Các tham số này xác định chuỗi mật khẩu được tạo. Một số hoạt động
các tham số có thể được cố định (theo tiêu chuẩn liên quan hoặc do việc thực hiện), trong khi
những người khác có thể được cấu hình một phần hoặc toàn bộ bởi người dùng. Vui lòng tham khảo
tài liệu tham khảo và nhà sản xuất để biết chi tiết.

cơ sở
Cơ số mà mật khẩu được hiển thị.

chống lại
Chỉ đối với chế độ HOTP, giá trị bộ đếm hiện tại.

chữ số
Số chữ số trong mỗi mật khẩu dùng một lần.

chính
Khóa bí mật (OTP seed).

số
Số nhận dạng hoặc tên duy nhất cho thiết bị.

kích thước bước thời gian
Chỉ đối với chế độ TOTP, độ rộng của mỗi khoảng thời gian, tính bằng giây. Cùng một mật khẩu
sẽ được tạo trong một khoảng thời gian nhất định; tức là, đây là "thời gian tồn tại" hoặc hiệu lực
khoảng thời gian của mỗi mật khẩu TOTP.

Ngoài các thông số này, dacstoken sử dụng một số trên mỗi tài khoản (tức là trên mỗi thiết bị)
các thông số:

cửa sổ chấp nhận
Khi xác thực mật khẩu HOTP, số lượng mật khẩu tối đa cần xem xét sau
mật khẩu mong đợi.

trôi
Chỉ đối với chế độ TOTP, số giây để điều chỉnh đồng hồ của máy chủ
chuyển tiếp hoặc lùi để đồng bộ hóa tốt hơn với thiết bị. Điều này được sử dụng để
bồi thường cho các mã thông báo hoặc phần mềm máy khách có đồng hồ không được đồng bộ hóa tốt
của máy chủ.

cửa sổ trôi dạt
Chỉ đối với chế độ TOTP, nhưng tương tự với cửa sổ chấp nhận, số lượng tối đa
khoảng thời gian (mỗi kích thước bước thời gian) để tìm kiếm tiến và lùi khi xác thực
chống lại một mật khẩu nhất định.

đồng bộ-otps
Chỉ đối với chế độ HOTP, số lượng mật khẩu dùng một lần liên tiếp được yêu cầu
đồng bộ hóa tài khoản với thiết bị.

tên truy nhập
Tên của DAC tài khoản liên kết với thiết bị.

Xác thực dựa trên thiết bị mật khẩu dùng một lần có những ưu điểm sau:

· Mỗi khi người dùng xác thực, một mật khẩu khác sẽ được tạo (với
xác suất); Do đó, người dùng không thể ghi nhanh "mật khẩu" vì mật khẩu là
luôn thay đổi; người dùng không thể quên mật khẩu của họ;

· Sau khi được sử dụng, mật khẩu chế độ HOTP ngay lập tức bị "tiêu thụ" và không có khả năng được sử dụng
một lần nữa trong một thời gian dài; với các thông số cấu hình phù hợp, mật khẩu chế độ TOTP
tự động "hết hạn" trong một khoảng thời gian tương đối ngắn và không có khả năng
sử dụng lại trong một thời gian dài;

· Nếu không cần chỉnh sửa độ lệch đồng hồ, thì tài khoản ở chế độ TOTP có thể có chế độ chỉ đọc
hoạt động;

· Bởi vì mật khẩu không phải là một số hoặc một chuỗi dễ đoán, nó phải
mạnh hơn hầu hết các mật khẩu do người dùng chọn;

· Mã thông báo HOTP có thể là cơ sở của phương thức xác thực lẫn nhau ("hai chiều"); NS
máy chủ hiển thị cho người dùng mật khẩu tiếp theo của mã thông báo của họ để xác nhận danh tính của nó (với cả hai
các bên tiến bộ đếm của họ), sau đó máy khách hiển thị cho máy chủ mật khẩu tiếp theo
để xác nhận danh tính của mình;

· Nếu một trình dò ​​tìm khóa được cài đặt trên máy tính của người dùng, thì một mật khẩu đánh giá sẽ không
làm tốt kẻ tấn công trừ khi người đàn ông đứng giữa tấn công[19] là có thể; được cho N
mật khẩu liên tiếp vẫn rất khó tính toán mật khẩu N + 1 không có
biết khóa bí mật;

· Người dùng khó chia sẻ tài khoản hơn (mặc dù đôi khi người dùng có thể
xem đây là một sự bất tiện);

· Nếu một dacstoken Mã PIN được chỉ định cho một tài khoản và kẻ tấn công lấy được tài khoản
mã thông báo, kẻ tấn công vẫn khó xác thực nếu không biết mã PIN;

· Một cách nhanh chóng và hiệu quả ngay lập tức để vô hiệu hóa tài khoản là chỉ cần nắm giữ một
mã thông báo phần cứng (ví dụ: nếu một nhân viên bị sa thải), mặc dù một tài khoản có thể bị vô hiệu hóa bởi
chương trình này hoặc sử dụng thu hồi [bốn];

· Trong trường hợp một ứng dụng khách phần mềm chạy trên thiết bị di động, chẳng hạn như điện thoại hoặc PDA,
người dùng đã mang thiết bị bên mình; khách hàng miễn phí có sẵn, vì vậy có
có thể không có thêm chi phí (lưu ý rằng các thiết bị di động có thể không cung cấp giống nhau
khả năng chống giả mạo, độ bền, bí mật khóa, độ chính xác của đồng hồ, v.v. của mã thông báo phần cứng).

Các thiết bị sử dụng mật khẩu một lần có những nhược điểm tiềm ẩn sau:

· Có một khoản chi phí một lần cho mã thông báo phần cứng (tùy thuộc vào khối lượng mua,
bạn có thể phải trả $ 10- $ 100 USD mỗi người) và có khả năng phải
thay thế mã thông báo bị mất hoặc bị hỏng hoặc pin của mã thông báo (một số đơn vị có
pin không thể thay thế, làm cho chúng có thể sử dụng một lần sau một vài năm);

· Cấu hình ban đầu hơi khó hơn so với các xác thực khác
và người dùng không quen với thiết bị sẽ phải được hướng dẫn về
sử dụng;

· Mặc dù chúng thường khá nhỏ (ví dụ: 5cm x 2cm x 1cm) và có thể được gắn vào
một chuỗi khóa hoặc dây buộc hoặc được giữ trong ví, người dùng có thể lúng túng khi phải mang theo mã thông báo
xung quanh với họ;

· Người dùng có thể quên mang theo mã thông báo hoặc mất mã thông báo;

· Một thiết bị di động (có ứng dụng phần mềm) có thể là mục tiêu trộm cắp, hơn thế nữa
so với mã thông báo phần cứng (do đó, mã PIN càng quan trọng đối với thiết bị này);

· Không giống như mã thông báo phần cứng trong đó khóa được ghi vào không thể truy cập, chống giả mạo
bộ nhớ, khóa được định cấu hình thành một ứng dụng khách phần mềm có thể được đọc bởi nó
chủ sở hữu, làm cho việc chia sẻ tài khoản có thể;

· Nhập giá trị hạt giống 40 ký tự hoặc dài hơn vào thiết bị di động có thể gây khó chịu
và dễ bị lỗi;

· Sau khi thiết bị TOTP tạo mật khẩu, mật khẩu mới sẽ không thể được tạo cho đến khi
cửa sổ bước thời gian tiếp theo, yêu cầu người dùng đợi 30 (hoặc có thể là 60) giây (ví dụ:
nếu một lỗi nhập được thực hiện);

· Một số thiết bị khó đọc trong điều kiện ánh sáng yếu; người dùng viễn thị và những người
bị suy giảm thị lực có thể gặp khó khăn khi đọc màn hình.

Trợ Lý Giám Đốc
Các tài khoản được quản lý bởi dacstoken hoàn toàn tách biệt với các tài khoản được sử dụng bởi
local_passwd_authenticate[21] hoặc bất kỳ cái nào khác DAC mô-đun xác thực.

Tài khoản cho thiết bị HOTP và TOTP có thể được kết hợp hoặc giữ riêng biệt. Nếu ảo
Loại mục filestore auth_hotp_token được xác định, nó chỉ được sử dụng cho các tài khoản được liên kết
với các mã thông báo HOTP. Tương tự, nếu loại mục kho lưu trữ ảo auth_totp_token là
được xác định, nó chỉ được sử dụng cho các tài khoản được liên kết với mã thông báo TOTP. Nếu một trong hai loại mặt hàng là
không được xác định, các tài khoản được truy cập thông qua DACS's kho lưu trữ ảo sử dụng loại vật phẩm
auth_token. Giả định rằng các quyền đối với tệp trên cơ sở dữ liệu tài khoản là tất cả
quyền truy cập bị giới hạn đối với quản trị viên và local_token_authenticate.

Nếu tài khoản cho hai loại thiết bị là kết hợp, bởi vì mỗi tên người dùng cho một
phương thức xác thực phải là duy nhất, nếu một cá nhân có cả hai loại mã thông báo thì họ phải
được gán tên người dùng khác nhau. Vì vậy, ví dụ: nếu Auggie có một mã thông báo HOTP và một
Mã thông báo TOTP, mã thông báo trước có thể tương ứng với tên người dùng auggie-hotp và mã thông báo sau tương ứng với
auggie-totp; biểu mẫu đăng nhập có thể bao gồm đầu vào chế độ thiết bị sẽ cho phép Auggie
chỉ cần nhập "auggie" vào trường tên người dùng và JavaScript để tự động nối
hậu tố thích hợp dựa trên chế độ thiết bị đã chọn. Một nhược điểm rõ ràng của điều này
cấu hình là nó dẫn đến hai DAC danh tính cho cùng một cá nhân;
điều này sẽ phải được ghi nhớ nếu một quy tắc kiểm soát truy cập cần thiết để xác định Auggie
một cách rõ ràng. Nếu cả hai mã thông báo sẽ liên kết với nhau DAC nhận dạng, mệnh đề Auth có thể
loại bỏ hậu tố sau khi xác thực thành công, nhưng sau đó quản trị viên sẽ
cần phải đề phòng trường hợp của hai Auggies khác nhau, mỗi Auggies sử dụng một loại thiết bị khác nhau.

Định cấu hình cả hai loại mục auth_hotp_token và auth_totp_token (hoặc chỉ một trong số chúng
và auth_token) giữ các tài khoản riêng biệt và cho phép sử dụng cùng một tên người dùng để
cả hai loại thiết bị. Auggie do đó có thể có một bản ghi tài khoản với cùng một
tên người dùng cho cả hai loại thiết bị. Cách tiếp cận này yêu cầu chế độ thiết bị phải được chỉ định
khi một thao tác được yêu cầu để có thể sử dụng đúng loại mục; điều này có nghĩa rằng
người dùng phải biết họ đang sử dụng loại thiết bị nào (có thể bằng cách gắn nhãn cho thiết bị đó).
Tham khảo chi tiết quan trọng liên quan đến DAC danh tính [22].

Sản phẩm -vfs được sử dụng để định cấu hình hoặc định cấu hình lại loại mục auth_token.

Chỉ các khóa đáp ứng yêu cầu về độ dài khóa tối thiểu (16 byte) có thể được lưu trữ với
thông tin tài khoản (ví dụ: với -bộ or -nhập khẩu). Trong các bối cảnh khác, yêu cầu là
không được thực thi.

Khóa bí mật được mã hóa bởi dacstoken khi nó được ghi vào tệp tài khoản. Các
loại mục kho lưu trữ ảo auth_token_keys xác định các khóa mã hóa cho dacstoken
để sử dụng; NS -inkey và -outkey cờ chỉ định các lựa chọn thay thế (xem dacskey(1)[23]). Nếu
các khóa mã hóa bị mất, các khóa bí mật thực tế không thể khôi phục được.

Quan trọng
Nếu kẻ tấn công phát hiện ra khóa bí mật, tạo mật khẩu có thể sử dụng mà không cần sở hữu
mã thông báo sẽ không khó. Đối với ít nhất một số mã thông báo phần cứng, khóa được ghi
vào thiết bị và không thể thay đổi được; trong trường hợp này, nếu chìa khóa bị rò rỉ, thiết bị
nên bị tiêu diệt. Nếu bị mất mã thông báo, tài khoản tương ứng sẽ bị vô hiệu hóa.
Trong trường hợp kẻ tấn công tìm thấy mã thông báo bị mất hoặc phát hiện ra khóa bí mật, có
Mã PIN được liên kết với tài khoản sẽ khiến kẻ tấn công khó lấy được
truy cập.

Quan trọng
· Phương thức xác thực này đã được thử nghiệm dựa trên các sản phẩm OTP sau:

· xác thực Một chìa khóa 3600[24] Mã thông báo phần cứng mật khẩu dùng một lần (HOTP);

· Phi Thiên Công nghệ[25] Phần cứng mật khẩu dùng một lần OTP C100 và OTP C200
mã thông báo, được cung cấp bởi HyperSecu Thông tin hệ thống[26]; và

· TUYÊN THỆ Mã thông báo[27] ứng dụng phần mềm của Archie Cobbs, thực hiện cả hai
HOTP và TOTP trên iPod Chạm, iPhone và iPad[28.

· Công nghệ Feitian iOATH Lite[29] Ứng dụng phần mềm HOTP cho iPod
Touch, iPhone và iPad.

Các nhà sản xuất khác muốn sản phẩm của họ được hỗ trợ bởi DAC đang
chào mừng bạn đến liên hệ với Dss.

· Hình chụp[30]: Feitian OTP C200, iPod Touch với ứng dụng OATH Token, Authenex A-Key
3600 (theo chiều kim đồng hồ từ trên cùng bên trái)

· Mặc dù việc triển khai này sẽ hoạt động với các sản phẩm tương tự, phù hợp, nhưng chỉ
những sản phẩm này được hỗ trợ chính thức bởi DAC.

· Mã thông báo phần cứng có thể được mua trực tiếp từ các nhà cung cấp.

· Bất kỳ vấn đề nào với việc sử dụng mã thông báo để xác thực thông qua DAC không phải là
trách nhiệm của nhà cung cấp mã thông báo.

Nhập khẩu và Xuất khẩu OTP Trợ Lý Giám Đốc
Mô tả tài khoản và mã thông báo của họ có thể được tải hoặc kết xuất (tham khảo -nhập khẩu
và -xuất khẩu cờ). Điều này giúp đơn giản hóa việc cung cấp hàng loạt, sao lưu và tính di động. Các
thông tin tài khoản được viết ở định dạng XML đơn giản, dành riêng cho ứng dụng (gần như).

Định dạng được hiểu bởi dacstoken bao gồm một phần tử gốc ("otp_tokens"), theo sau là
không hoặc nhiều phần tử "otp_token", một phần tử trên mỗi dòng, mỗi phần tử bắt buộc và tùy chọn
thuộc tính (mô tả bên dưới). Khai báo XML phải được bỏ qua. Khoảng trắng hàng đầu và
các dòng trống bị bỏ qua, cũng như các nhận xét XML một dòng. Ngoài ra, các dòng có "#"
vì ký tự không phải khoảng trắng đầu tiên bị bỏ qua. Các thuộc tính tùy chọn không
hiện tại được gán giá trị mặc định. Thuật toán thông báo mặc định là SHA1. Thuộc tính ngắn
tên được sử dụng để tiết kiệm không gian. Các thuộc tính không được công nhận và các thuộc tính không liên quan đến
chế độ thiết bị, bị bỏ qua. Các ký tự trích dẫn đơn hoặc kép (hoặc cả hai) trong thuộc tính XML
các giá trị phải được thay thế bằng tham chiếu thực thể tương ứng ("'" và "" ",
tương ứng), cũng như các ký tự "<" (nhỏ hơn) và "&" (dấu và). A ">" (lớn hơn
ký tự than) có thể được tùy ý thay thế bằng một chuỗi ">", nhưng không có thực thể nào khác
tài liệu tham khảo được công nhận.

Các thuộc tính được công nhận là:

· NS:
cơ sở
- cơ số cho giá trị OTP
[Không bắt buộc:
10 (Mặc định),
16, hoặc là 32]

· NS:
chống lại
- giá trị bộ đếm hiện tại cho HOTP, tính bằng hex nếu đứng trước
bằng "0x" (hoặc "0X"), ngược lại là số thập phân
[Không bắt buộc:
mặc định là 0]

· NS:
OTP thiết bị chế độ
- "c" (dành cho HOTP)
hoặc "t" (cho TOTP)
[Cần thiết]

· Dn:
tên thông báo
- một trong những thuật toán băm an toàn
[Không bắt buộc:
SHA1 (mặc định),
SHA224, SHA256,
SHA384, SHA512]

· NS:
đồng hồ trôi
- điều chỉnh đồng hồ, tính bằng giây, cho TOTP
[Không bắt buộc]

· Ek:
khóa mã hóa
- khóa bí mật được mã hóa, mã hóa base-64
[Yêu cầu:
Chỉ ghi lại tài khoản OTP]

· Vi:
trạng thái đã bật
-- 1 để được kích hoạt,
0 dành cho người khuyết tật
[Cần thiết]

· K:
khóa văn bản gốc
- khóa bí mật không được mã hóa
[Cần thiết]

· Lu:
cập nhật cuối cùng
- Thời gian Unix của lần cập nhật bản ghi cuối cùng
[Tùy chọn: mặc định là thời gian hiện tại]

· NS:
chữ số
- số chữ số cho giá trị OTP
[Không bắt buộc:
mặc định là 6 cho HOTP,
8 cho TOTP]

· P:
bản rõ-PIN
- giá trị mã PIN bản rõ cho tài khoản
[Yêu cầu:
trừ khi có ph,
chỉ để nhập khẩu]

· NS:
mã PIN băm
- giá trị mã PIN được băm cho tài khoản
[Không bắt buộc:
được tạo ra bởi dacstoken
chỉ dành cho tệp tài khoản xuất và tệp OTP]

· NS:
số seri
- chuỗi định danh duy nhất cho thiết bị
[Cần thiết]

· Ts:
bước thời gian
- giá trị bước thời gian, tính bằng giây, cho TOTP
[Không bắt buộc:
mặc định là 30]

· U:
tên truy nhập
- hợp lệ DAC tên người dùng được liên kết với tài khoản này
[Cần thiết]

Ví dụ sau mô tả hai tài khoản có thể được tạo bằng cách sử dụng -nhập khẩu cờ:







Bảo mật
Bởi vì các bản ghi đã nhập bao gồm các khóa bí mật chưa được mã hóa cho các thiết bị OTP,
tệp đã xuất phải được mã hóa (ví dụ: sử dụng openssl) hoặc ít nhất có
quyền tệp thích hợp.

Chú thích
Định dạng tiêu chuẩn để cấp phép thiết bị OTP đang được phát triển. Định dạng này có thể là
được hiểu bởi một phiên bản tương lai của dacstoken, hoặc một tiện ích chuyển đổi có thể được viết.
Định dạng tiêu chuẩn có thể phức tạp hơn đáng kể so với DAC định dạng.

LỰA CHỌN

Ngoài tiêu chuẩn dacoption[1], một danh sách dài các cờ dòng lệnh là
được công nhận. Khi một tên truy nhập được cung cấp, các giá trị mặc định được liên kết với tài khoản đó là
được sử dụng, nếu không, các giá trị mặc định được đề xuất hoặc triển khai cụ thể được sử dụng. Những mặc định này
các giá trị thường có thể được ghi đè trên dòng lệnh. Một số cờ chỉ được phép với
chế độ mã thông báo cụ thể (ví dụ: -quầy tính tiền, -totp-show) và sự xuất hiện của chúng ngụ ý rằng chế độ đó,
làm cho -chế độ cờ không cần thiết; các cờ khác độc lập với chế độ (ví dụ: -xóa bỏ,
-có thể). Đó là một lỗi khi sử dụng kết hợp cờ không tương thích lẫn nhau. Cờ đó là
vô nghĩa với hoạt động đã chọn bị bỏ qua, mặc dù chúng vẫn ngụ ý một chế độ.
Các giá trị hệ thập lục phân không phân biệt chữ hoa chữ thường. Nếu giá trị bộ đếm là bắt buộc nhưng không xác định
(ví dụ: khi tạo tài khoản), giá trị bộ đếm ban đầu bằng XNUMX được sử dụng.

Sản phẩm thông số kỹ thuật chỉ định hoạt động sẽ được thực hiện, cùng với XNUMX hoặc nhiều hơn thay đổi
cờ. Nếu như thông số kỹ thuật bị mất tích, -danh sách hoạt động được thực hiện. Một thông số kỹ thuật là một trong những
Sau đây:

-xác thực giá trị otp
Lá cờ này giống như -xác nhận[31], ngoại trừ:

· A tên truy nhập là bắt buộc, từ đó tất cả các tham số được lấy (chẳng hạn như khóa);

· Nếu tài khoản có mã PIN, nó phải được cung cấp;

· Nếu tài khoản là mã thông báo HOTP, bộ đếm sẽ được cập nhật nếu xác thực
là thành công.

Trạng thái thoát bằng XNUMX cho biết xác thực thành công, trong khi bất kỳ giá trị nào khác
có nghĩa là xác thực không thành công.

-đổi tên tập tin
Tải tệp tài khoản mã thông báo định dạng cũ hơn (trước khi phát hành 1.4.25) từ tên tập tin ("-"
có nghĩa là đọc từ stdin), chuyển đổi nó sang định dạng mới hơn và ghi nó vào stdout (dưới dạng
by -xuất khẩu). Cờ này không được dùng nữa và khả năng này sẽ bị xóa trong tương lai
phát hành DAC.

-tạo ra
Tạo một tài khoản cho tên truy nhập, mà không được tồn tại. Ở khía cạnh khác, nó
hoạt động như -bộ[32]. Khi tạo một tài khoản mới, -sử dụng là bắt buộc và -Chìa khóa is
bao hàm. Nếu không -có thể cờ được cung cấp khi tạo tài khoản, -vô hiệu hóa được ngụ ý.
Nếu không -quầy tính tiền cờ được cung cấp, mặc định là XNUMX được sử dụng. Nếu một trong các cờ mã PIN là
hiện tại, mã PIN đã cho sẽ được chỉ định cho tài khoản, nếu không, tài khoản sẽ không
có mã PIN (hoặc mã PIN hiện có sẽ không được thay đổi).

-hiện hành
Hiển thị hệ số di chuyển hiện tại (tức là giá trị bộ đếm cho HOTP hoặc khoảng thời gian
giá trị cho TOTP) và OTP dự kiến ​​cho tên truy nhập. Đối với HOTP, bộ đếm là nâng cao. Tất cả các
tham số được lấy từ tài khoản.

-xóa bỏ
Xóa tài khoản cho tên truy nhập. Khóa bí mật của thiết bị và các hoạt động khác
các tham số sẽ bị mất.

-delpin
Xóa mã PIN, nếu có, trên tài khoản cho tên truy nhập, thoát khỏi tài khoản mà không có
GHIM.

-xuất khẩu
Viết thông tin về tất cả các tài khoản hoặc chỉ một tài khoản nếu tên truy nhập được trao cho
stdout. Tuy nhiên, nếu một chế độ được chọn, chỉ những tài khoản có chế độ đó mới được
bằng văn bản. Thông tin này có thể được tải lại bằng cách sử dụng -nhập khẩu or -nhập khẩu-thay thế. Đầu ra
nên được lưu trữ ở dạng mã hóa, hoặc ít nhất là có quyền đối với tệp của nó
đặt một cách thích hợp. Ví dụ:

% dacstoken -uj VÍ DỤ -xuất khẩu | openssl enc -aes-256-cbc> dacstoken-export.enc

Sau đó, bạn có thể làm điều gì đó như:

% openssl enc -d -aes-256-cbc <dacstoken-export.enc | dacstoken -uj VÍ DỤ-nhập -

-h
-Cứu giúp
Hiển thị thông báo trợ giúp và thoát.

-hotp-show num
Giao diện num mật khẩu HOTP liên tiếp từ một khóa và giá trị bộ đếm nhất định. Các
-quầy tính tiền cờ có thể được sử dụng để chỉ định một giá trị bộ đếm ban đầu. Chìa khóa có thể là
được chỉ định bằng cách sử dụng -Chìa khóa, -tài liệu quan trọng, hoặc là -key-nhắc. Nếu một tên truy nhập được cung cấp,
giá trị bộ đếm ban đầu và khóa được lấy từ tài khoản HOTP của người dùng, trừ khi
giá trị được ghi đè trên dòng lệnh; giá trị bộ đếm được lưu trữ của tài khoản không phải là
đã sửa đổi. Điều này chủ yếu dành cho mục đích gỡ lỗi.

-nhập khẩu tên tập tin
-nhập khẩu-thay thế tên tập tin
Tải thông tin tài khoản và mã thông báo từ tên tập tin; nếu tên tập tin là "-", stdin được đọc.
Nếu một chế độ được chọn, chỉ những tài khoản có chế độ đó mới được đọc. Với -nhập khẩu nó là
lỗi nếu tài khoản đã nhập đã tồn tại và quá trình xử lý sẽ dừng lại; -nhập khẩu-thay thế
sẽ thay thế tài khoản hiện có bằng dữ liệu đã nhập.

-l
-danh sách
-Dài
If tên truy nhập được cung cấp, hiển thị thông tin về tài khoản tương ứng; nếu
-sử dụng cờ được đưa ra, hiển thị thông tin về tài khoản với sê-ri được chỉ định
con số; nếu không thì liệt kê tất cả các tài khoản. Nếu -chế độ cờ được đưa ra trong bất kỳ trường hợp nào trong số này,
tuy nhiên, chỉ liệt kê những tài khoản đã chỉ định chế độ hoạt động. Nếu điều này
cờ được lặp lại hoặc với -Dài cờ, chi tiết hơn được hiển thị: loại thiết bị,
trạng thái tài khoản, số sê-ri thiết bị, giá trị bộ đếm (đối với HOTP), giá trị trôi đồng hồ (đối với
TOTP), cho dù tài khoản có mã PIN hay không (được biểu thị bằng ký hiệu "+" hoặc "-") và
thời gian và ngày sửa đổi cuối cùng của tài khoản.

-đổi tên mới tên
Đổi tên tài khoản hiện có cho tên truy nhập được mới tênvà sửa đổi cái mới
tài khoản sử dụng đối số dòng lệnh (như với -bộ[32]). Vì điều này yêu cầu hai bước
không được thực hiện nguyên tử, nếu xảy ra lỗi, tài khoản mới có thể
được tạo và tài khoản cũ vẫn tồn tại.

-bộ
Sản phẩm -bộ cờ được sử dụng để sửa đổi tài khoản hiện có cho tên truy nhập dựa trên một hoặc nhiều
đối số bổ nghĩa (-căn cứ, -quầy tính tiền, -chữ số, -vô hiệu hóa or -có thể, -Chìa khóa (Hoặc -tài liệu quan trọng
or -key-nhắc), -Pin (Hoặc -pin-tệp or -pin-nhắc), hoặc là -sử dụng). Chế độ cũng có thể
đã thay đổi bằng cách chỉ định -chế độ, nhưng các thông số theo chế độ cụ thể được liên kết với tài khoản
sẽ bị mất (ví dụ: giá trị bộ đếm hiện tại sẽ bị xóa nếu tài khoản HOTP
đã thay đổi thành tài khoản TOTP) và các thông số chung (chẳng hạn như số sê-ri) sẽ
được giữ lại trừ khi được ghi đè trên dòng lệnh.

-đồng bộ hóa danh sách mật khẩu
Ở chế độ HOTP, điều này cố gắng đồng bộ hóa máy chủ với mã thông báo cho tên truy nhập. Các
danh sách mật khẩu là danh sách được phân tách bằng dấu phẩy gồm ba mật khẩu liên tiếp được tạo bởi
mã thông báo của người dùng (chức năng "tự động đồng bộ hóa" này cũng có sẵn thông qua
local_token_authenticate[3]). Trình tự đã cho phải khớp với trình tự được tính toán
chính xác, với các thông số hoạt động có hiệu lực; ví dụ, các số XNUMX đứng đầu là
quan trọng, cũng như cơ số hiển thị và số chữ số OTP có hiệu lực. Nếu như
đồng bộ hóa thành công, người dùng sẽ có thể xác thực bằng cách sử dụng tiếp theo
mật khẩu do thiết bị tạo ra. Một thuật toán tìm kiếm toàn diện bằng cách sử dụng
các giá trị bộ đếm được sử dụng, với giới hạn thời gian biên dịch về số lượng tối đa
tính toán. Tìm kiếm bắt đầu ở giá trị bộ đếm hiện được lưu trữ của máy chủ, trừ khi
một được cung cấp bằng cách sử dụng -quầy tính tiền. Nếu không thành công, hoạt động này có thể mất nhiều thời gian
trước khi nó kết thúc; người dùng phải liên hệ với quản trị viên để được hỗ trợ.

Ở chế độ TOTP, hãy cố gắng xác định mức độ đồng bộ hóa chặt chẽ của đồng hồ hệ thống với
đồng hồ của mã thông báo và hiển thị kết quả. Thông tin này có thể được sử dụng để cập nhật
bản ghi mã thông báo của người dùng để bù đắp cho các đồng hồ được đồng bộ hóa kém hoặc để điều chỉnh
các tham số xác nhận. Khóa của mã thông báo và tên của thuật toán thông báo là
có được cho bản ghi mã thông báo thuộc về tên truy nhập, nếu nó được đưa ra; nếu không thì chìa khóa
được nhắc và thuật toán thông báo để sử dụng hoặc được lấy từ lệnh
dòng hoặc mặc định. Chỉ mật khẩu đầu tiên trong danh sách mật khẩu Được sử dụng. Các
-totp-dấu thời gian, -chữ sốvà -totp-cơ sở các tùy chọn có hiệu quả trong quá trình hoạt động này.

-kiểm tra
Thực hiện một số tự kiểm tra, sau đó thoát. Trạng thái thoát khác XNUMX nghĩa là đã xảy ra lỗi.

-totp-show num
Hiển thị một chuỗi các mật khẩu TOTP sử dụng các thông số hiện đang có hiệu lực:
kích thước khoảng (-totp-dấu thời gian), số chữ số (-chữ số), và cơ sở (-căn cứ). Các
các thông số được lưu trữ của tài khoản không được sửa đổi. Điều này chủ yếu nhằm gỡ lỗi
mục đích.

Nếu một tên truy nhập được cung cấp (nó phải được liên kết với thiết bị TOTP), khóa và
các tham số được lưu trữ khác từ tài khoản được sử dụng trừ khi bị dòng lệnh ghi đè
cờ. Chuỗi mật khẩu cho num khoảng thời gian trước và sau thời điểm hiện tại,
cùng với mật khẩu cho thời điểm hiện tại được in.

Nếu không tên truy nhập được đưa ra, chương trình sẽ nhắc nhập khóa (được lặp lại) và sử dụng
cờ dòng lệnh hoặc giá trị mặc định cho các tham số. Sau đó, nó phát ra mật khẩu TOTP
cho thời gian hiện tại mỗi khi nhấn Return / Enter. Gõ EOF gây ra ngay lập tức
sự chấm dứt.

-xác nhận giá trị otp
If giá trị otp là mật khẩu dùng một lần được mong đợi tiếp theo, trả về trạng thái thoát bằng XNUMX đến
biểu thị sự thành công; bất kỳ giá trị nào khác chỉ ra sự thất bại. Nếu như tên truy nhập được đưa ra, các tham số
để xác thực, bao gồm cả khóa, được lấy từ tài khoản đó trừ khi được ghi đè vào
dòng lệnh. Trạng thái của máy chủ không bị thay đổi; ví dụ: bộ đếm HOTP không
nâng cao. Nếu không tên truy nhập được đưa ra, -chế độ cờ phải được sử dụng và các tham số
yêu cầu cho chế độ đó phải được cung cấp, bao gồm một khóa. Đối với chế độ HOTP, giá trị bộ đếm
phải được cung cấp. Đối với chế độ TOTP, các tham số dòng lệnh có hiệu lực trong quá trình này
Thẩm định. dacstoken sẽ kiểm tra xem giá trị otp xác thực so với các thông số trong
hiệu ứng.

Sau đây thay đổi cờ được hiểu là:

-tất cả
Với -bộ và không tên truy nhập, áp dụng các thay đổi cho tất cả các các tài khoản. Điều này có thể được sử dụng để
ví dụ như bật hoặc tắt tất cả các tài khoản. Các -inkey và -outkey cờ là
vinh dự. Nếu xảy ra lỗi, quá trình xử lý sẽ dừng ngay lập tức, trong trường hợp này chỉ một số
tài khoản có thể đã được sửa đổi.

-căn cứ num
Sử dụng num làm cơ sở (cơ số) khi hiển thị OTP. Giá trị của num bị hạn chế đối với
10 (mặc định), 16, hoặc là 32.

-quầy tính tiền num
Đây là giá trị bộ đếm HOTP 8 byte cần đặt, được biểu thị dưới dạng giá trị hex nếu đứng trước
bằng "0x" (hoặc "0X"), ngược lại là số thập phân. Các số XNUMX đứng đầu có thể được làm sáng tỏ. Điều này ngụ ý HOTP
chế độ. Đối với thiết bị mã thông báo, không thể đặt lại bộ đếm (bộ đếm mô-đun
tràn) vì điều đó sẽ dẫn đến trình tự mật khẩu được lặp lại, giả sử
rằng chìa khóa không được thay đổi; triển khai phần mềm có thể không có hạn chế này,
tuy nhiên, vì vậy hãy cẩn thận với các tác động bảo mật.

-chữ số num
Sử dụng num các chữ số khi hiển thị OTP. Giá trị của num bị hạn chế đối với 6, 7, 8 (Các
mặc định), hoặc 9 với cơ sở 10. Nó bị hạn chế đối với 6 với cơ sở 32 và bị bỏ qua với
cơ sở 16 (đầu ra hex).

-vô hiệu hóa
Vô hiệu hóa tài khoản cho tên truy nhập. Các local_token_authenticate mô-đun, và -xác thực và
-xác nhận cờ, sẽ không cho phép người dùng xác thực cho đến khi tài khoản được
được bật, mặc dù các hoạt động khác vẫn có thể được thực hiện trên tài khoản. Nếu như -có thể
sau đó được sử dụng, tài khoản sẽ có thể sử dụng được để xác thực và
khôi phục lại trạng thái của nó tại thời điểm nó bị vô hiệu hóa. Nó không phải là một lỗi khi vô hiệu hóa một
đã bị vô hiệu hóa tài khoản.

-có thể
Kích hoạt tài khoản cho tên truy nhập. Các local_token_authenticate mô-đun sẽ cho phép
người dùng để xác thực. Việc kích hoạt một tài khoản đã được kích hoạt không phải là một lỗi.

-hotp-cửa sổ num
Nếu mật khẩu HOTP dự kiến ​​không khớp với mật khẩu đã cho, hãy cố gắng khớp với
num mật khẩu sau mật khẩu dự kiến ​​trong chuỗi. Giá trị bằng XNUMX cho num
vô hiệu hóa tìm kiếm này.

-inkey mục_loại
Để giải mã khóa bí mật, hãy sử dụng cửa hàng được xác định bởi mục_loại, có lẽ là
được cấu hình trong dacs.conf.

-Chìa khóa bàn phím
Sử dụng bàn phím dưới dạng khóa bí mật, được biểu thị dưới dạng chuỗi chữ số hex.

Bảo mật
Việc cung cấp khóa trên dòng lệnh không an toàn vì nó có thể hiển thị với
các quy trình khác.

-tài liệu quan trọng tên tập tin
Đọc khóa bí mật, được biểu thị dưới dạng chuỗi chữ số hex, từ tên tập tin. Nếu tên tập tin is
"-", khóa được đọc từ stdin.

-key-nhắc
Nhắc cho khóa bí mật, được biểu thị dưới dạng một chuỗi chữ số hex. Đầu vào không bị vọng lại.

-chế độ chế độ otp
Điều này chỉ định (không phân biệt chữ hoa chữ thường) loại mã thông báo (chế độ thiết bị OTP) để sử dụng
với -bộ, -tạo ravà các hoạt động xác nhận và đồng bộ hóa. Các chế độ otp có lẽ
hoặc bộ đếm hoặc hotp cho chế độ bộ đếm, hoặc thời gian hoặc tổng cộng cho chế độ dựa trên thời gian. Cái này
cờ là bắt buộc khi tạo tài khoản mới.

-outkey mục_loại
Để mã hóa khóa bí mật, hãy sử dụng cửa hàng được xác định bởi mục_loại, có lẽ đã được xác định
trong dacs.conf.

-Pin pinval
Sử dụng pinval làm mã PIN bí mật cho tài khoản.

Bảo mật
Việc cung cấp mã PIN trên dòng lệnh không an toàn vì nó có thể hiển thị với
các quy trình khác.

-pin-các ràng buộc str
Thay vì sử dụng PASSWORD_CONSTRAINTS[14], sử dụng str (có cùng cú pháp và
ngữ nghĩa) để mô tả các yêu cầu đối với mã PIN.

Chú thích
Yêu cầu đối với mã PIN áp dụng cho các mã PIN nhận được thông qua cờ dòng lệnh và đối với những
thu được thông qua nhập (sử dụng thuộc tính "p"). Yêu cầu không
"hồi tố", tuy nhiên, vì vậy việc thay đổi các yêu cầu không ảnh hưởng đến mã PIN của
tài khoản hiện có hoặc tài khoản nhập khẩu đã được xuất trước đó (có
thuộc tính "ph").

-pin-tệp tên tập tin
Đọc mã PIN bí mật từ tên tập tin. Nếu tên tập tin là "-", mã PIN được đọc từ stdin.

-pin-nhắc
Nhắc mã PIN bí mật. Đầu vào không bị vọng lại.

-rnd
Để dành mai sau dùng.

-hạt giống str
Để dành mai sau dùng.

-sử dụng str
Số sê-ri, str, là một định danh duy nhất (có chủ đích) được chỉ định cho mã thông báo.
Tùy chọn này được sử dụng với -bộ, -tạo ravà -danh sách cờ. Một số sê-ri
xác định một thiết bị OTP cụ thể và không cần giữ bí mật. Tính chất duy nhất
được thực thi trong một đơn vị lưu trữ loại vật phẩm; nghĩa là, số sê-ri của tất cả HOTP
thiết bị phải là duy nhất, số sê-ri của tất cả các thiết bị TOTP phải là duy nhất và nếu
tài khoản cho hai loại thiết bị được kết hợp, tất cả các số sê-ri của thiết bị phải là
duy nhất. Bất kỳ chuỗi có thể in được đều được chấp nhận. Nếu một ứng dụng khách phần mềm đang tạo
mật khẩu, bạn có thể sử dụng số sê-ri của thiết bị hoặc chọn bất kỳ mô tả phù hợp nào
chuỗi chưa được gán cho một thiết bị.

Chú thích
Một khu vực pháp lý cho phép (hoặc cuối cùng có thể cho phép) cả mã thông báo phần cứng và
các ứng dụng khách tạo phần mềm nên xem xét việc áp dụng
lược đồ đặt tên cho các mã thông báo của nó. Ví dụ: quản trị viên có thể thêm "-hw" vào
số sê-ri của nhà cung cấp để tạo thành dacstoken số seri. Đối với phần mềm
mã thông báo, quản trị viên có thể tạo dacstoken số sê-ri bằng cách thêm vào
"-sw" tới số sê-ri của nhà cung cấp cho thiết bị.

-totp-đồng bằng num
Điều chỉnh thời gian gốc bằng cách num khoảng thời gian (mỗi kích thước bước số giây) khi
tính toán một TOTP. Các num có thể âm, XNUMX hoặc dương. Điều này được sử dụng để sửa
đối với đồng hồ không được đồng bộ hóa.

-totp-trôi nwindows
Đối với TOTP, hãy sử dụng kích thước cửa sổ là nwindows (về kích thước khoảng thời gian) cho
Thẩm định. Nếu như nwindows is 0, giá trị TOTP được tính toán phải khớp với giá trị đã cho
chính xác. Nếu như nwindows is 1, Ví dụ, dacstoken sẽ cố gắng khớp với TOTP đã cho
giá trị trong khoảng thời gian trước đó, hiện tại và tiếp theo. Điều này cho phép đồng hồ trong
hệ thống đang chạy dacstoken (Hoặc local_token_authenticate) và thiết bị sản xuất mã thông báo để
được đồng bộ kém hơn.

Bảo mật
Mặc dù nó bù đắp cho những đồng hồ kém đồng bộ, làm tăng giá trị của
nwindows làm suy yếu hệ thống bằng cách kéo dài thời gian tồn tại của mật khẩu dùng một lần.

-totp-băm loài rong
Sử dụng loài rong dưới dạng thuật toán thông báo với TOTP. Giá trị của loài rong bị hạn chế đối với (trường hợp
vô cảm) SHA1 (mặc định), SHA256 hoặc SHA512.

-totp-dấu thời gian giây
Sử dụng giây là kích thước khoảng thời gian khi tính toán TOTP. Nó phải lớn hơn XNUMX. Các
mặc định là 30 giây.

Bảo mật
Mặc dù nó bù đắp cho những đồng hồ kém đồng bộ, làm tăng giá trị của
giây làm suy yếu hệ thống bằng cách kéo dài thời gian tồn tại của mật khẩu dùng một lần.

-vfs vfs_uri
Sử dụng vfs_uri ghi đè lên VFS[33] chỉ thị cấu hình có hiệu lực. Điều này có thể là
được sử dụng để định cấu hình hoặc định cấu hình lại auth_token, auth_hotp_token hoặc auth_totp_token thành
chỉ định phương pháp lưu trữ cho các tài khoản đang được thực hiện.

Ngoài các thông báo lỗi, được in theo lỗi tiêu chuẩn, tất cả đầu ra sẽ chuyển đến
đầu ra tiêu chuẩn.

Thông thường, một dacoption sẽ được chỉ định để lựa chọn khu vực pháp lý thay mặt cho
tài khoản đang được quản lý.

VÍ DỤ

Những ví dụ này giả định rằng tên khu vực pháp lý để sử dụng là EXAMPLE và liên kết của nó
miền là example.com.

Để sử dụng phương pháp xác thực này, DAC quản trị viên có thể thực hiện các bước sau
cho mỗi thiết bị OTP được chỉ định cho người dùng:

1. Lấy mã thông báo được hỗ trợ, xem lại cách nó được sử dụng để xác thực và chọn giá trị
cho các tham số khác nhau. Nhận khóa bí mật cho thiết bị từ nhà cung cấp; vì
một thiết bị có thể lập trình, chọn một phím ngẫu nhiên thích hợp và lập trình nó vào thiết bị.
Các giá trị bộ đếm hiện tại cũng có thể được lấy từ nhà cung cấp, mặc dù nó là
có khả năng khởi tạo bằng XNUMX; đối với thiết bị có thể lập trình, hãy đặt giá trị bộ đếm thành
số không. Quyết định xem liệu mã PIN có được yêu cầu hay không (xem TOKEN_REQUIRES_PIN[9]). Nếu một phần mềm
khách hàng đang được sử dụng, cài đặt phần mềm trên thiết bị của người dùng (hoặc yêu cầu người dùng thực hiện
như vậy), và cấu hình phần mềm.

2. Quyết định nơi thông tin tài khoản sẽ được lưu trữ và nếu cần, hãy thêm một
VFS[33] chỉ thị tới dacs.conf. Mặc định (tìm thấy trong site.conf) duy trì tài khoản
thông tin trong tệp có tên auth_tokens trong quyền riêng tư mặc định của mỗi khu vực tài phán
khu vực:

VFS "[auth_token] dacs-kwv-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_tokens "

3. Tạo khóa để mã hóa thông tin tài khoản (xem Tokens và bí mật phím[34]) và
quyết định nơi chúng sẽ được lưu trữ; ví dụ: (ID người dùng, ID nhóm, đường dẫn,
tên khu vực pháp lý và miền liên kết có thể khác nhau):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj VÍ DỤ -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

Nếu cần, hãy thêm một VFS[33] chỉ thị dacs.conf; mặc định, đó là
được sử dụng ở trên, duy trì thông tin tài khoản trong tệp có tên auth_token_keys trong
khu vực riêng tư mặc định của mỗi khu vực tài phán:

VFS "[auth_token_keys] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_token_keys "

4. Nếu bạn cần người dùng đăng nhập dacs_authenticate(8)[2], bạn phải định cấu hình
mệnh đề Auth phù hợp trong dacs.conf, ví dụ:


URL "mã thông báo"
STYLE "vượt qua"
CONTROL "đủ"


5. Có một số cách mà quản trị viên có thể tiến hành, tùy thuộc vào mức độ
nỗ lực có thể được thực hiện bởi người dùng (ví dụ: liệu họ có thể được tin cậy hay không, kỹ thuật của họ
khả năng), có bao nhiêu người dùng (một vài hoặc hàng nghìn) và mức độ bảo mật
yêu cầu.

1. chuẩn bị một tệp chứa một XML ghi[35] cho mỗi tài khoản được tạo; nếu như
Mã PIN sẽ được sử dụng, chỉ định một mã PIN ngẫu nhiên cho mỗi tài khoản;

2. sử dụng -nhập khẩu[36] gắn cờ để tạo tài khoản;

3. cung cấp thiết bị mã thông báo, tên người dùng và (nếu cần) mã PIN ban đầu cho người dùng
(có thể xác minh danh tính), cung cấp bất kỳ minh chứng cần thiết nào và
hướng dẫn;

4. yêu cầu người dùng đặt hoặc đặt lại mã PIN cho tài khoản và yêu cầu người dùng đăng nhập
sử dụng mã thông báo để xác nhận hoạt động chính xác.

Để tạo tài khoản bị vô hiệu hóa cho bobo người dùng cho thiết bị HOTP:

% dacstoken -uj VÍ DỤ -mode hotp -serial 37000752 -key-file bobo.key -create bobo

Khóa bí mật cho tài khoản (không được tồn tại) được đọc từ tệp
bobo.key. Các tài khoản mới bị vô hiệu hóa theo mặc định; sử dụng -có thể để tạo một tài khoản được kích hoạt.

Khi tài khoản đã được tạo, nó có thể được đồng bộ hóa với mã thông báo. Để đồng bộ hóa
mã thông báo HOTP cho bobo người dùng:

% dacstoken -uj VÍ DỤ -sync 433268,894121,615120 bobo

Trong ví dụ này, mã thông báo cụ thể tạo ra ba mật khẩu liên tiếp 433268,
894121 và 615120. Lưu ý rằng chuỗi trình tự mật khẩu theo sau -đồng bộ hóa cờ là
một đối số duy nhất không được có bất kỳ dấu cách nhúng nào. Nếu khóa cho mã thông báo này là
19c0a3519a89b4a8034c5b9306db, mật khẩu tiếp theo được tạo bởi mã thông báo này phải là 544323
(với giá trị bộ đếm 13). Điều này có thể được xác minh bằng cách sử dụng -hotp-show:

% dacstoken -hotp-show 5 -bộ đếm 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442

Để kích hoạt tài khoản cho bobo người dùng:

% dacstoken -uj VÍ DỤ -enable -set bobo

Để vừa đặt mã PIN vừa kích hoạt tài khoản cho bobo người dùng:

% dacstoken -uj VÍ DỤ -enable -pin "CzAy" -bộ bobo

Để liệt kê tất cả các tài khoản một cách chi tiết:

% dacstoken -uj VÍ DỤ -dài

Sản phẩm -danh sách cờ là dư thừa vì nó là hoạt động mặc định. Các -chế độ, -quầy tính tiền, Vv
bổ ngữ không có tác dụng khi liệt kê.

Để chỉ liệt kê tài khoản cho bobo:

% dacstoken -uj VÍ DỤ-list bobo

Trạng thái thoát sẽ khác XNUMX nếu người dùng này không có tài khoản.

Để hiển thị tài khoản cho thiết bị có số sê-ri 37000752:

% dacstoken -uj EXAMPLE -srial 37000752

Số sê-ri, sẽ xác định duy nhất một mã thông báo, thường được in trên mã thông báo
hoặc có thể được hiển thị bằng mã thông báo.

Để đặt giá trị bộ đếm cho tài khoản hiện có của bobo:

% dacstoken -uj VÍ DỤ -counter 9 -bộ bobo

Thao tác này có thể được sử dụng để thử nghiệm hoặc với mã thông báo phần mềm. Các -đồng bộ hóa hoạt động là
thích hợp hơn cho một mã thông báo phần cứng.

Để thay đổi mã PIN cho tên người dùng bobo:

% dacstoken -uj VÍ DỤ -pin-prompt -set bobo

Chương trình sẽ nhắc nhập mã PIN mới.

Để sử dụng tệp tài khoản thay thế, / secure / auth_tokens:

% dacstoken -uj VÍ DỤ -vfs "dacs-kwv-fs: / secure / auth_tokens" -list

Để sử dụng các khóa mới (đưa ra các giả định tương tự như trước đó), hãy thêm chỉ thị VFS phù hợp vào
dacs.conf; mặc định xác định loại mục auth_token_keys_prev như sau:

VFS "[auth_token_keys_prev] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} /auth_token_keys.prev "

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj VÍ DỤ -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj VÍ DỤ -inkeys auth_token_keys.prev -set

CHẨN ĐOÁN

Chương trình thoát 0 hoặc 1 nếu xảy ra lỗi.

Sử dụng dacstoken trực tuyến bằng các dịch vụ onworks.net