这是 dacsauth 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
dacsauth - 身份验证检查
概要
达克索斯 [-m 身份验证模块规范] [...] [-r 角色模块规范] [...] [-D指示=折扣值]
[-辅助]
[-缩略词 姓名[-fn 联邦名称[-h | -救命[-ID[-二 LOG_LEVEL]
[-p 密码]
[-pf 文件[-迅速的[-q] [{-u | -用户} 用户名[-v]
dacsauth 模块
商品描述
该程序是 DACS 套房。
达克索斯 效用测试给定的认证材料是否满足认证
要求并通过流程的退出状态指示结果。 它类似于
dacs_authenticate(8)[1]和 达克瑞德(1)[2]。
达克索斯 为脚本和其他程序提供了一种利用 DACS 认证
基础设施。 他们可能会使用成功的身份验证作为粗略的形式
授权; 只有提供正确密码的用户才能运行
程序,例如。 或者他们可能会在成功后返回某种类型的凭据
身份验证,或者可能使用 dacs_auth_agent(8)[3] 返回 DACS 证书。
达克索斯 还可用于检索与给定用户关联的角色信息。
达克索斯 不读任何 DACS 配置文件。 执行测试所需的一切
必须指定为参数。
Tips:
If 达克索斯 使用内置模块执行身份验证或查找角色, 没有
服务器 元件 is 必须. 这意味着您可以使用 达克索斯 不必
访问甚至配置 Web 服务器,包括 Apache。
配置
识别以下命令行标志。 最后一个 -m 标志(执行
身份验证测试),或至少一个 -r 必须指定标志(以形成角色
标识的描述符字符串并将其打印到标准输出)。 两个标志的组合是
允许,在这种情况下,仅当身份验证测试时才输出角色描述符字符串
是成功的。
-D指示=折扣值
这相当于设置 指示, 一般 DACS 配置指令,到
折扣值。 看 配置文件(5)[4]。
-辅助
提供的下一个字符串 -p, -pf或 -迅速的 标志将是
辅助 身份验证参数。 这提供了一种安全的方式来传递敏感信息
程序的辅助信息,例如 PIN。 获取密码的标志,
如果有的话,必须在命令行上这个标志之前。
-缩略词 姓名
使用 姓名,它必须在语法上有效,作为管辖区名称。 如果需要的话
但未提供,将使用从主机域名派生的值。
-fn 联邦名称
使用 联邦名称,它必须在语法上有效,作为联合名称。 如果需要的话
但未提供,将使用从主机域名派生的值。
-h
-救命
显示帮助消息并退出。
-ID
如果成功,打印经过验证的 DACS 标识到标准输出。
-二 LOG_LEVEL
将调试输出级别设置为 LOG_LEVEL (见 达克(1)[5])。 默认级别是
警告。
-m 身份验证模块规范
所需的每种类型的身份验证测试都由 身份验证模块规范
紧随其后的是 -m 旗帜。 每个 身份验证模块规范 本质上是
一个的替代表示 AUTH 条款[6] 及其指令,由
dacs_authenticate(8)[1]。 就像 Auth 子句出现在一个 DACS
配置文件的顺序 -m 出现的标志可能很重要,
取决于 控制 关键词。 在加工过程中,连续 -m 组件是
自动分配的名称,auth_module_1、auth_module_2等,主要用于
错误报告的目的。
An 身份验证模块规范 具有以下语法:
模块 以内置模块的名称或有效缩写开头
其中,或外部身份验证模块的(绝对)URL(相当于
此 网址[7] 指令)。 接下来必须出现一个公认的认证风格关键字
说明符(相当于 风格[8] 指令)。 接下来, 控制 关键字如下,
这与 控制[9] Auth 子句中的指令。 之后 控制
关键字,下面描述的标志可以按任何顺序跟随。
An 身份验证模块规范 当第一个无效标志(或标志的结尾)是
遭遇。
-O 标志相当于 OPTION[10] 指令。
-的 flag 后跟一个参数,该参数是要从中读取的文件的名称
选项,每行一个,格式 姓名=折扣值. 空行和以开头的行
'#' 被忽略; 请注意,这些行不以“-O”开头,引号只是
复制而不解释。 这 -的 标志可用于避免将密码放在
命令行,并且可以更轻松地编写原本需要的表达式
例如,要小心地转义以防止 shell 解释。
-表达式 标志相当于 EXPR[11] 指令。 这 -vfs 标志用于
配置 VFS[12] 此模块所需的指令。
-模块
显示内置身份验证模块和角色模块的列表,每行一个,以及
然后退出。 打印规范模块名称,后跟零个或多个等效项
缩写词。 对于身份验证模块,显示身份验证样式。 列出
可用模块,运行命令:
% dacsauth - 模块
确定可用(启用)的内置身份验证和角色模块集
,尤其是 DACS 建成。
-p 密码
指定要使用的密码(相当于 密码 争论
dacs_authenticate).
安保行业
在命令行上给出的密码可能对同一台上的其他用户可见
系统。
-pf 文件
读取要使用的密码 文件 (相当于 密码 争论
dacs_authenticate)。 如果 文件 为“-”,则从标准输入中读取密码
没有提示。
-迅速的
提示输入密码并从标准输入中读取(相当于 密码 争论
dacs_authenticate)。 密码不回显。
-q
通过降低调试输出级别来更安静。
-r 角色模块规范
角色 用户名 可以通过给出这个标志来确定,这是立即
其次是 角色模块规范。 该 -r 标志可能会重复,由此产生的角色
结合在一起。 每个 角色模块规范 本质上是一个的替代表示
使用的角色子句 dacs_authenticate(8)[13]。 连续 -r 组件是
分配的名称,roles_module_1,roles_module_2等,主要用于报错
的目的。
A 角色模块规范 具有以下语法:
模块 组件等效于 Roles 子句的 网址[14] 指令并且是
可用的内置角色模块的名称,其有效缩写,
或外部角色模块的(绝对)URL。
标志可能遵循 模块 组件,以任何顺序。 一种 角色模块规范 何时结束
遇到第一个无效标志(或标志的结尾)。
-O 标志相当于 OPTION[10] 指令。
-的 flag 后跟一个参数,该参数是要从中读取的文件的名称
选项,每行一个,格式 姓名=折扣值. 空行和以开头的行
'#' 被忽略; 请注意,这些行不以“-O”开头,引号只是
复制而不解释。 这 -的 标志可用于避免将密码放在
命令行,并且可以更轻松地编写原本需要的表达式
例如,要小心地转义以防止 shell 解释。
-表达式 标志相当于 EXPR[11] 指令。 这 -vfs 标志用于
配置 VFS[12] 指令要求 模块.
-u 用户名
-用户 用户名
要进行身份验证的用户名(相当于 USERNAME 争论
dacs_authenticate)。 此用户名与有效用户名隐式关联
联邦和管辖权(见 -fn[15]和 -缩略词[16] 标志)。
-v
-v 标志将调试输出级别提升到调试或(如果重复)跟踪。
示例
安保行业
If 达克索斯 使用内置模块执行身份验证,它必须运行 setuid 或
setgid 以获得足够的权限来访问所需的密码文件(相同
对于内置角色模块也是如此)。 如果它使用外部模块,该模块将
需要以足够的权限执行才能访问 DACS 加密密钥,
特别是 federation_keys 和可能 DACS 或系统密码文件; 外部的
然后模块将需要以足够的权限执行以访问它的任何文件
需要。
请务必使用对您的联邦正确的 federation_keys。 参考
两个或多个联盟中的身份验证模块可能不起作用。
达克索斯 因此不应通常作为调用它的用户的 UID 运行
(除非恰好是root)因为它将无法访问信息
这个需要。 这也将防止用户“作弊”(例如,通过附加到
使用调试器运行模块)。
本示例使用密码“test”对用户“bobo”进行身份验证 DACS 密码文件
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd 需要密码
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p 测试
如果该命令的退出状态为零,则认证测试成功,否则为
失败。
以下示例尝试根据她的 Unix 密码文件对“bobo”进行身份验证。 这
程序提示输入密码。
% dacsauth -m 需要 unix 密码 -u bobo -prompt
在下一个例子中, 达克索斯 尝试通过 NTLM 对“bobo”进行身份验证
绕线机.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
此示例与上一个示例类似,不同之处在于外部身份验证模块
使用并从文件中读取密码。 由于外部模块,额外的
必须提供配置; 特别是, federation_keys 的位置和
必须指定联邦和辖区名称。
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd 足够 -OSAMBA_SERVER="winders.example.com" \
-fn 示例 -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
进行身份验证 谷歌[17]帐号 [电子邮件保护],一个人可能会使用:
% dacsauth -m http 密码 suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=电子邮件 -OPASSWORD_PARAMETER=密码 \
-Oservice=xapi -Osource=DSS-DACS-1.4 -提示 -u [电子邮件保护]
在以下示例中,对表达式求值以确定是否进行身份验证
应该成功。 提示用户(“bobo”)输入密码。 仅当字符串“foo”是
给定将认证成功。 一个更现实的例子可能会调用另一个程序
例如,帮助做出决定。
% dacsauth -m expr expr 后缀 \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
针对 Apache 的身份验证 摘要 密码文件在下面执行
例如,从 stdin 读取密码:
% 回声“测试” | dacsauth -m apache 摘要足够\
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="DACS 摘要验证区" \
-u bobo -pf -
通过 PAM 模块的身份验证与其他模块的工作方式不同 - 而且更多
使用复杂 - 因为 达克索斯 可能需要多次运行,具体取决于什么
PAM 需要的信息。 而不是返回是/否决定, 达克索斯 可以打印
提示更多信息到标准输出。 请查看中提供的操作详细信息
dacs_authenticate(8)[18]和 帕姆德(8)[19] 在尝试使用此模块之前。
以下示例演示了从命令行使用该模块。 一旦基本
想法都理解了,应该很明显如何编写脚本来执行
必要的迭代。 示例中的详细信息,例如路径,可能需要针对
你的环境。 请注意,在此示例中,第一次未指定用户名
达克索斯 正在运行,尽管它可能是已知的。
% dacsauth -m pam 提示足够\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj 示例 -fn 测试
AUTH_PROMPT_VAR1="登录:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam 提示足够\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="密码:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam 提示足够\
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="密码"\
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
第一次 达克索斯 在示例中运行它返回用户名提示
(“登录:”)与交易变量相关联 AUTH_PROMPT_VAR1 的网络
交易标识符(AUTH_TRANSID)。 后者必须传递给后续
处决 达克索斯. 第二次运行 达克索斯 传递用户名(“bobo”)和
返回与交易变量关联的另一个提示(“密码:”)
AUTH_PROMPT_VAR2. 第三次运行通过密码(“apassword”)但没有提示
返回,表示会话完成,程序退出状态反映
身份验证的结果。
Tips:
不管 达克索斯 需要密码才能检索角色取决于特定角色
正在使用的模块。 例如,不需要密码 本地unix角色[20]或
本地角色[21] 获得角色,但 本地 LDAP 角色[22] 可能需要一个
密码以绑定到目录并获取角色。
本示例通过调用内置函数打印用户“bobo”的角色字符串
本地unix角色[20] 模块:
% dacsauth -r unix -u bobo
bobo,车轮,www,用户
下一个示例与前一个示例类似,不同之处在于使用了外部角色模块:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys"\
-fn 示例 -u bobo
bobo,车轮,www,用户
外部角色模块可能在与运行的主机不同的主机上执行
达克索斯。 提供 达克索斯 已安装并且匹配的 federation_keys 文件是
在本地主机上可用,本地主机不必是 DACS 管辖权或有任何
other DACS 组态。
以下示例打印 角色 绳子[23] 对于用户“bobo”,在
目录的通用名称为“Bobo Baggins”,使用(外部) 本地 LDAP 角色[22]
模块和“直接”绑定方法:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys"\
-fn 示例 -fj FEDROOT -prompt
DnsAdmins、Print_Operators、Domain_Admins、管理员
因为有太多的标志无法轻松正确地放置在命令行上,
执行此操作所需的选项是从指定的文件中读取的 -的 旗。
这也提供了一种更安全的方式将密码传递给程序; 确保访问
对文件进行适当限制。 文件
/usr/local/dacs/ldap_roles_options_direct 可能包含如下配置:
LDAP_BIND_METHOD=直接
LDAP_ADMIN_URL*="ldap://winders.example.com/CN="。 编码(网址,${Args::DACS_USERNAME})。 ",CN=用户,DC=示例,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
以下示例与前一个示例类似,不同之处在于它使用了“间接”绑定
方法,因此不需要给出用户的通用名称:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-of /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys"\
-fn 示例 -fj FEDROOT -p bobospassword
DnsAdmins、Print_Operators、Domain_Admins、管理员
文件 /usr/local/dacs/ldap_roles_options_indirect 可能包含配置,例如
这个:
LDAP_BIND_METHOD=间接
LDAP_ADMIN_URL=ldap://winders.example.com/CN=管理员、CN=用户、DC=example、DC=com
# 在用户下搜索...
LDAP_SEARCH_ROOT_DN=CN=用户,DC=示例,DC=com
LDAP_ADMIN_PASSWORD=秘密管理员密码
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
假设一个人想使用 达克索斯 以类似于以下方式通过 LDAP 对用户进行身份验证
这个 dacs.conf 配置:
网址“http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE "密码,add_roles"
控制“必需”
LDAP_BIND_METHOD “直接”
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=". 编码(网址,${Args::USERNAME})。 ",cn=Users,dc=example,dc=local"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
像这样的文件(例如,/usr/local/dacs/ldap_auth_options_direct)将包含
以下指令:
LDAP_BIND_METHOD=直接
LDAP_USERNAME_URL*="ldap://winders.example.com/cn="。 编码(网址,${Args::USERNAME})。 ",cn=用户,dc=示例,dc=本地"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
然后可以使用如下命令执行身份验证:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate 密码 suff \
-of /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys"\
-fn 示例 -u bobo -prompt
诊断
如果身份验证成功,程序退出 0,如果身份验证失败,程序退出 1 或
发生错误。
使用 onworks.net 服务在线使用 dacsauth
