dacstoken - 云端在线

程序：

您的姓名

dacstoken - 管理基于哈希的一次性密码

概要

代币 [选项[1]][-all[-基础 NUM[-计数器 NUM[-数字 NUM]
[-禁用 | -使能够[-hotp 窗口 NUM[-inkeys 物品种类]
[[-键 键值] | [-密钥文件 文件名] | [- 按键提示]][-模式 otp模式]
[-外键 物品种类]
[[针 平瓦尔] | [-pin文件 文件名] | [-pin提示]][-销约束 STR]
[-rnd[-种子 STR[-serial STR[-topp-delta NUM[-totp-漂移 窗口]
[-totp 哈希 ALG]
[-top-timestep 秒[-vfs vfs_uri[操作规范[用户名]

商品描述

该程序是 DACS 套房。

代币 公用事业管理 DACS 与一次性密码 (OTP) 关联的帐户
发电装置（令牌) 或基于软件的客户端。 使用命令行选项，它还
计算 OTP 值； 令牌帐户参数可以被覆盖，但帐户甚至不是
必需的。

可以在以下情况下提供强大的两因素身份验证 dacs_authenticate[2] 配置
使用 本地令牌验证[3] 认证模块或当 代币 用作
一个独立的程序来验证密码。 基于 HMAC 的一次性密码模式
(HOTP)，基于事件计数器并由 RFC 4226[4]，以及基于时间的
一次性密码模式 (TOTP)，由 最新 IETF 互联网草案[5] 提案，
支持。 额外 操作 模式[6] 称为 OCRA (誓言 挑战响应
算法)，在 IETF 互联网草案中描述，尚未完全支持。

备注
这个版本的 代币 包含许多不向后兼容的更改
1.4.24a 及更早版本。 一些命令行标志的功能不同，并且
帐户文件的格式已更改。 如果你之前用过这个命令
版本，请备份您的令牌帐户文件并查看本手册
在继续之前仔细翻页（注意 -转变 特别是标志[7]）。

重要
不需要供应商提供的软件 代币 提供其功能。 这
当前支持的设备不需要任何注册或配置交互
与供应商和 代币 不 不能 相互作用 供应商的 服务器 or 使用 任何
所有权 软件. 可能需要供应商提供的软件来执行
但是，其他令牌设备的初始化或配置，以及 代币 不
不为他们提供这样的支持。

每个令牌设备通常对应一个由以下人员管理的帐户
代币，尽管一些供应商生产可以支持多个帐户的代币。

总而言之，此实用程序：

· 创建和管理 DACS 与基于计数器和基于时间相关联的帐户
一次性密码

· 提供验证和测试功能

· 提供命令行认证能力

安保行业
只有 DACS 管理员应该能够从
命令行。 因为 DACS 密钥和配置文件，包括用于
存储帐户，必须限制为管理员，这通常是
情况，但细心的管理员会设置文件权限来拒绝所有访问
其他用户。

备注
dacs_token(8)[8] web service 为用户提供有限的自助服务
设置或重置其帐户 PIN 并同步其令牌的功能。 它也是
具有演示模式以简化测试和评估。

PIN码 （帐户 密码）
A 代币 帐户可以选择有一个与之关联的 PIN（即密码）。 到
针对此类帐户进行身份验证，用户必须提供生成的一次性密码
通过令牌 和 密码。 这 TOKEN_REQUIRES_PIN[9] 配置指令决定
创建或导入帐户时是否必须提供 PIN； 它不适用于
与 -德尔平 标志，因为只有管理员才能执行
那个功能。

PIN 的哈希值存储在帐户记录中，而不是 PIN 本身。 相同
使用的方法 密码(1)[10]和 dacs_passwd 密码(8)[11] 被应用，并且取决于
密码摘要[12]和 密码_盐_前缀[13] 指令生效。 如果
密码摘要[12] 已配置，则使用该算法，否则为编译时
使用默认值 (SHA1)。 如果用户忘记了 PIN 码，旧的 PIN 码将无法恢复，因此
必须删除或设置一个新的。

一些令牌设备内置了 PIN 功能。 用户必须输入 PIN
设备前的设备会发出一次性密码。 这个“设备 PIN”是
与由以下人员管理的帐户 PIN 完全不同 代币，本手册是
只关心 代币 别针。 应尽可能使用设备 PIN；
此 代币 强烈建议使用 PIN 码，两步验证需要使用 PIN 码
（除非以其他方式应用了额外的身份验证因素）。

由于只允许管理员运行此命令，因此没有任何限制
管理员提供的 PIN 码的长度或质量； 警告信息
但是，如果密码被认为是弱密码，则将发出
密码约束[14] 指令。

一度 密码
两种一次性密码装置都采用安全的方法计算密码值。
键控哈希算法（RFC 2104[15] FIPS协议 198[16]）。 在基于计数器的方法中，设备
和服务器共享一个秘密密钥和一个计数器值，它们被散列以产生一个数字
以特定基数显示的具有特定位数的值。 成功的
身份验证要求设备和服务器计算匹配的密码。 每次
设备产生一个密码，它增加它的计数器。 当服务器收到匹配的
密码，它会增加它的计数器。 因为有可能两个计数器变成
不同步，服务器的匹配算法通常会允许客户端的密码
落在计数器值的“窗口”内。 基于时间的方法类似，主要
不同之处在于当前的 Unix 时间（由 次(3)[17]，例如）是
用于建立一个“时间步长窗口”，作为计算中的计数器值
的安全哈希。 因为设备和服务器上的实时时钟可能不是
充分同步，服务器的匹配算法也必须允许客户端的
密码在这些设备的一定数量的时间步长窗口内。

安保行业
令牌可能会被分配一个永久的秘密密钥（有时称为 OTP 种子）。
制造商或密钥可能是可编程的。 该密钥由令牌的
密码生成过程，并且将其保密是至关重要的。 如果令牌
不可编程，密钥是从供应商处获得的（对于 HOTP 令牌，通常
通过提供设备的序列号和任意三个连续密码）。 一个记录
每个从序列号到密钥的映射都应该保存在一个安全的位置。

如果密钥是可编程的，就像软件客户端一样，它是
至少需要 128 位长； 至少 160 位 被推荐。 这
key 由 16 个（或更多）字符长的十六进制字符串表示。 关键应该
从随机位的加密质量源中获得。 有些客户可能是
能够生成合适的密钥，但您可以使用 dacexpr(1)[18]：

% dacsexpr -e “随机（字符串，20）”
"bb2504780e8075a49bd88891b228fc7216ac18d9"

Tips:
令牌可用于计算机登录以外的身份验证目的。 为了
例如，通过提供帐号、PIN 和令牌值，客户可以快速
通过电话进行身份验证，减少或消除对昂贵和
耗时的安全问题。

一次性密码设备和应用程序具有以下操作参数。
这些参数确定生成的密码序列。 一些操作
参数可能是固定的（由相关标准或由于实施），而
其他的可以部分或完全由用户配置。 请参考
有关详细信息，请参阅参考资料和制造商文档。

基地
显示密码的基数。

对付
仅适用于 HOTP 模式，当前计数器值。

数字
每个一次性密码的位数。

键
密钥（OTP 种子）。

流水号
设备的唯一标识符或名称。

时间步长
仅对于 TOTP 模式，每个时间间隔的宽度，以秒为单位。 一样的密码
将在给定的时间间隔内生成； 即，这是“生命周期”或有效性
每个 TOTP 密码的期限。

除了这些参数， 代币 每个帐户（即每个设备）使用多个
参数：

接受窗口
验证 HOTP 密码时，要考虑的最大密码数
预期密码。

漂
仅适用于 TOTP 模式，调整服务器时钟的秒数
向前或向后以更好地将其与设备同步。 这用于
补偿时钟与时钟不同步的令牌或客户端软件
服务器的。

漂移窗
仅适用于 TOTP 模式，但类似于接受窗口，最大数量
验证时向前和向后搜索的间隔（每个时间步长）
针对给定的密码。

同步 otps
仅适用于 HOTP 模式，需要连续一次性密码的数量
将帐户与设备同步。

用户名
的名字 DACS 设备绑定的帐号。

基于一次性密码设备的认证具有以下优点：

· 每次用户认证时，都会生成不同的密码（高
可能性）; 用户因此无法记下“密码”，因为密码是
一直在变； 用户不能忘记密码；

· 一旦使用，HOTP模式密码立即“消耗”，不太可能被使用
又过了很久； 具有合适的配置参数，TOTP 模式密码
在相对较短的时间间隔内自动“到期”，并且不太可能
再次使用了很长时间；

· 如果不需要校正时钟漂移，TOTP 模式帐户可以具有只读权限
操作

· 因为密码不太可能是容易猜到的数字或字符串，所以应该
比大多数用户选择的密码强；

· HOTP 令牌可以作为相互（“双向”）身份验证方法的基础； 这
服务器向用户显示他的令牌的下一个密码以确认其身份（同时
各方推进他们的计数器），然后客户端向服务器显示下一个密码
确认其身份；

· 如果在用户的计算机上安装了密钥嗅探器，则嗅探密码不会
对攻击者有任何好处，除非 人在这方面的中间人 攻击[19] 是可能的； 给予 N
连续密码计算密码仍然很困难 N + 1 也完全不需要
知道密钥；

· 用户共享一个帐户比较困难（尽管用户有时可能会
将此视为不便）；

· 如果一个 代币 PIN 分配给一个帐户，攻击者获取该帐户的
令牌，攻击者在不知道 PIN 的情况下仍然很难进行身份验证；

· 一种快速且立即有效的禁用帐户的方法是简单地抓住一个
硬件令牌（例如，如果员工被解雇），尽管可以通过以下方式禁用帐户
这个程序或使用 废止 名单[20];

· 如果是在手机或 PDA 等移动设备上运行的软件客户端，
用户已经随身携带设备； 免费客户端可用，所以有
可能没有额外费用（请注意，移动设备可能不会提供相同的
硬件令牌的防篡改、耐用性、密钥保密性、时钟准确性等）。

一次性密码设备有以下潜在的缺点：

· 硬件令牌有一次性费用（取决于购买量，
您可以期望每人支付 10-100 美元），并且有可能不得不
更换丢失或损坏的令牌，或令牌的电池（某些单元有
不可更换的电池，使其在几年后即可丢弃）；

· 初始配置比其他认证稍微困难一些
方法，并且不熟悉设备的用户将不得不接受他们的指导
使用;

· 虽然它们通常很小（例如，5cm x 2cm x 1cm）并且可以连接到
钥匙链或挂绳，或者放在钱包里，用户可能会因为不得不携带代币而畏缩
和他们在一起；

· 用户可以忘记带令牌或丢失令牌；

· 移动设备（带有软件客户端）可能是盗窃的目标，更多
所以比硬件令牌（因此 PIN 对这个设备的额外重要性）；

· 不同于硬件令牌，其中密钥被烧毁，不可访问，防篡改
内存，配置到软件客户端的密钥很可能被其读取
所有者，使共享帐户成为可能；

· 在移动设备中输入 40 个字符或更长的种子值可能会令人沮丧
并且容易出错；

· TOTP设备一旦生成密码，就不能生成新密码，直到
下一个时间步长窗口，要求用户等待 30（或可能 60）秒（例如，
如果输入错误）；

· 某些设备在弱光条件下难以阅读； 老花眼用户和那些
视力受损的人可能难以阅读显示屏。

账户
管理的账户 代币 与所使用的帐户完全分开
本地密码验证[21] 或任何其他 DACS 认证模块。

HOTP 和 TOTP 设备的帐户可以合并或分开保存。 如果虚拟
定义了文件存储项类型 auth_hotp_token，它仅用于关联的帐户
使用 HOTP 代币。 同样，如果虚拟文件存储项类型 auth_totp_token 是
定义，它仅用于与 TOTP 令牌关联的帐户。 如果任一项目类型是
未定义，帐户通过访问 DACS的 使用项目类型的虚拟文件存储
身份验证令牌。 假设帐户数据库上的文件权限是这样的
访问仅限于管理员和 本地令牌验证.

如果两种设备类型的帐户是 结合，因为每个用户名对应一个
身份验证方法必须是唯一的，如果一个人拥有这两种类型的令牌，他们必须
分配不同的用户名。 因此，例如，如果 Auggie 有一个 HOTP 令牌和一个
TOTP 令牌，前者可能对应于用户名 auggie-hotp，后者对应于
奥吉-托普； 登录表单可能包含一个设备模式输入，允许 Auggie
只需在用户名字段中输入“auggie”，然后 JavaScript 即可自动附加
根据选择的设备模式选择适当的后缀。 一个明显的缺点
配置是它导致两种不同的 DACS 同一个人的身份；
如果需要访问控制规则来识别 Auggie，则必须记住这一点
明确地。 如果两个令牌都应该映射到相同的 DACS 身份，Auth 子句可以
认证成功后去掉后缀，但管理员会
需要注意两个不同的Auggies，每个都使用不同的设备类型。

配置 auth_hotp_token 和 auth_totp_token 项目类型（或仅配置其中之一）
和 auth_token) 将帐户分开并允许使用相同的用户名
两种类型的设备。 因此，奥吉可以拥有相同的帐户记录
两种设备类型的用户名。 这种方法需要指定设备模式
请求操作以便可以使用正确的项目类型时； 这意味着
用户必须知道他们使用的是哪种类型的设备（也许通过在上面贴上标签）。
请参阅有关的重要细节 DACS 身份[22]。

-vfs 用于配置或重新配置 auth_token 项类型。

只有满足最小密钥长度要求的密钥（16 字节）可以存储
帐户信息（例如，与 -组 or -进口）。 在其他情况下，要求是
不强制执行。

密钥由以下方式加密 代币 当它写入帐户文件时。 这
虚拟文件存储项类型 auth_token_keys 标识加密密钥 代币
使用； 这 -inkeys 和 -外键 标志指定替代品（见 达斯基(1)[23]）。 如果
加密密钥丢失，密钥实际上无法恢复。

重要
如果攻击者发现了一个秘密密钥，在不拥有的情况下生成可用的密码
令牌不会很难。 至少对于一些硬件令牌，密钥被烧毁
进入设备且无法更改； 在这种情况下，如果密钥泄露了设备
应该销毁。 如果令牌丢失，则应禁用相应的帐户。
如果攻击者发现丢失的令牌或发现秘密密钥，
与帐户关联的 PIN 将使攻击者难以获得
访问。

重要
· 此身份验证方法已针对以下 OTP 产品进行了测试：

· 正品 关键 3600[24] 一次性密码（HOTP）硬件令牌；

· 飞天 技术[25] OTP C100 和 OTP C200 一次性密码硬件
代币，由 超级安全 资讯 产品[26]; 和

· 誓言 Token[27] Archie Cobbs 的软件应用程序，它实现了
上的 HOTP 和 TOTP iPod的 触摸， iPhone 和 iPad的[28]。

·飞天科技 誓言 初阶版[29] 用于 iPod 的 HOTP 软件应用程序
触控、iPhone 和 iPad。

其他有兴趣让他们的产品支持的制造商 DACS ，那恭喜你，
欢迎联系Dss。

· 拍照[30]：飞天OTP C200，带有OATH Token应用程序的iPod Touch，Authenex A-Key
3600（从左上角顺时针）

· 虽然这个实现应该适用于类似的、符合标准的产品，但只有
这些产品由官方支持 DACS.

· 硬件令牌可以直接从供应商处购买。

· 使用令牌进行身份验证的任何问题 DACS 不是
代币供应商的责任。

输入 和 导出 OTP 账户
可以加载或转储帐户及其令牌的描述（请参阅 -进口
和 -出口 标志）。 这简化了批量配置、备份和可移植性。 这
帐户信息以简单的、特定于应用程序的（几乎）XML 格式编写。

理解的格式 代币 由一个根元素（“otp_tokens”）组成，后跟
零个或多个“otp_token”元素，每行一个，每个元素都有必需和可选
属性（如下所述）。 必须省略 XML 声明。 领先的空白和
空行会被忽略，单行 XML 注释也会被忽略。 此外，带有“#”的行
因为第一个非空白字符被忽略。 不属于的可选属性
存在被分配默认值。 默认的摘要算法是 SHA1。 短属性
名称用于节省空间。 无法识别的属性和与此无关的属性
设备模式，被忽略。 XML 属性中的单引号或双引号字符（或两者）
值必须替换为相应的实体引用（“'”和“””，
分别），“<”（小于）和“&”（与号）字符也是如此。 A ">"（更大
than) 字符可以选择替换为 ">" 序列，但不能替换其他实体
参考文献被认可。

公认的属性是：

·乙：
基地
-- OTP 值的基数
[可选的：
10 （默认），
16或 32]

· C：
对付
-- HOTP 的当前计数器值，如果前面是十六进制
由“0x”（或“0X”），否则十进制
[可选的：
默认是 0]

· d：
OTP 设备 模式
-- "c"（用于 HOTP）
或“t”（对于 TOTP）
[需要]

·域名：
摘要名称
-- 安全散列算法之一
[可选的：
SHA1（默认），
SHA224、SHA256、
SHA384​​512、SHAXNUMX]

·博士：
时钟漂移
-- 时钟调整，以秒为单位，TOTP
[可选的]

· ek：
加密密钥
-- 加密密钥，base-64 编码
[必需的：
仅 OTP 帐户记录]

· zh:
启用状态
-- 1 对于启用，
0 残障人士
[需要]

·k：
明文密钥
-- 未加密的密钥
[需要]

·陆：
最后更新
-- 上次记录更新的 Unix 时间
[可选：默认为当前时间]

· nd：
n位数
-- OTP 值的位数
[可选的：
默认是 6 对于 HOTP，
8 TOTP]

· p：
明文密码
-- 帐户的明文 PIN 值
[必需的：
除非 ph 存在，
仅供进口]

·酸碱度：
散列密码
-- 帐户的散列 PIN 值
[可选的：
由...生成 代币
仅用于导出和 OTP 帐户文件]

· s：
序列号
-- 设备的唯一标识符字符串
[需要]

· ts：
时间步长
-- TOTP 的时间步长值，以秒为单位
[可选的：
默认是 30]

·你：
用户名
- 一个有效的 DACS 与此帐户关联的用户名
[需要]

以下示例描述了可能使用 -进口 旗：







安保行业
由于导入的记录包含 OTP 设备的未加密密钥，因此
导出的文件应保持加密（例如，使用 openssl的) 或至少有
适当的文件权限。

备注
正在开发 OTP 设备配置的标准格式。 这种格式可能是
被未来版本理解 代币，或者可以编写转换实用程序。
标准格式可能比标准格式复杂得多 DACS 格式。

配置

除了标准 选项[1]，一长串命令行标志是
认可。 当一个 用户名 给出，与该帐户关联的默认值是
使用，否则使用推荐的或特定于实现的默认值。 这些默认
值通常可以在命令行上被覆盖。 某些标志只允许带有
特定的令牌模式（例如， -计数器, -顶级秀) 并且它们的出现暗示了该模式，
制作 -模式 标记不必要； 其他标志与模式无关（例如， -删除,
-使能够）。 使用互不兼容的标志组合是错误的。 标志是
无意义的选定操作被忽略，尽管它们仍然暗示一种模式。
十六进制值不区分大小写。 如果需要计数器值但未指定
（例如，在创建帐户时），使用初始计数器值为零。

操作规范 指定要执行的操作，以及零个或多个 变化
旗帜。 如果 操作规范 不见了， -list 操作被执行。 一个 操作规范 一
在以下：

-身份验证 otp 值
这面旗帜就像 -证实[31]，除了：

· 一种 用户名 是必填项，从中获取所有参数（如key）；

· 如果账户有PIN，则必须提供；

· 如果账户是用于 HOTP 令牌，则计数器将在身份验证时更新
是成功的。

退出状态为零表示身份验证成功，而任何其他值
表示身份验证失败。

-转变 文件名
从 文件名 （“-”
意味着从标准输入读取），将其转换为较新的格式，并将其写入标准输出（如
by -出口）。 此标志已弃用，将来会删除此功能
释放 DACS.

-创建
创建一个帐户 用户名，它一定不存在。 在其他方面它
像 -组[32]。 创建新帐户时， -serial 是必需的，并且 -键 is
默示。 如果不 -使能够 创建帐户时提供标志， -禁用 是暗示。
如果不 -计数器 提供了标志，则使用默认值零。 如果 PIN 标志之一是
当前，给定的 PIN 将分配给该帐户，否则该帐户将不会
有一个 PIN（或现有的 PIN 不会改变）。

-当前的
显示当前的移动因子（即 HOTP 的计数器值或间隔
TOTP 的值）和预期的 OTP 用户名. 对于 HOTP，计数器会提前。 全部
参数取自账户。

-删除
删除帐户 用户名. 设备的密钥和其他操作
参数会丢失。

-德尔平
删除帐户上的 PIN（如果存在） 用户名, 离开帐户没有
销。

-出口
写下所有账户的信息，或者只写一个账户，如果 用户名 给定，给
标准输出。 但是，如果选择了一种模式，则只有具有该模式的帐户才会被
书面。 可以使用重新加载此信息 -进口 or -导入替换. 输出
应该以加密形式存储，或者至少有它的文件权限
适当设置。 例如：

% dacstoken -uj 示例 -export | openssl enc -aes-256-cbc > dacstoken-exported.enc

稍后，您可能会执行以下操作：

% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj 示例 -import -

-h
-救命
显示帮助消息并退出。

-热秀 NUM
屏 显： NUM 来自给定计数器值和密钥的连续 HOTP 密码。 这
-计数器 标志可用于指定初始计数器值。 关键可以是
指定使用 -键, -密钥文件或 - 按键提示。 如果一个 用户名 提供，
初始计数器值和密钥是从用户的 HOTP 帐户中获取的，除非
值在命令行上被覆盖； 帐户的存储计数器值不是
修改的。 这主要用于调试目的。

-进口 文件名
-导入替换 文件名
从中加载帐户和令牌信息 文件名; 如果 文件名 是“-”，读取标准输入。
如果选择了一种模式，则只会读取具有该模式的帐户。 和 -进口 它是
如果导入的帐户已存在，则会出现错误，并且处理停止； -导入替换
将使用导入的数据替换现有帐户。

-l
-list
-长
If 用户名 提供，显示对应账号的信息； 如果
-serial 给定标志，显示指定序列号的账户信息
数字; 否则列出所有帐户。 如果 -模式 在任何这些情况下都会给出标志，
但是，仅列出指定了操作模式的那些帐户。 如果这
标志是重复的，或与 -长 标志，显示更多详细信息：设备类型，
帐户状态、设备序列号、计数器值（用于 HOTP）、时钟漂移值（用于
TOTP），无论帐户是否有 PIN（以“+”或“-”符号表示），以及
帐户上次修改的时间和日期。

-改名 新的用户名
将现有帐户重命名为 用户名 成为 新的用户名，并修改新的
使用命令行参数的帐户（与 -组[32]）。 因为这需要两个步骤
不是以原子方式完成的，如果发生错误，新帐户可能会
被创建并且旧帐户仍然存在。

-组
-组 标志用于修改现有帐户 用户名 基于一个或多个
修饰符参数 (-基础, -计数器, -数字, -禁用 or -使能够, -键 （或 -密钥文件
or - 按键提示), 针 （或 -pin文件 or -pin提示）， 要么 -serial）。 模式还可以
通过指定更改 -模式, 但与帐户关联的模式特定参数
将丢失（例如，如果 HOTP 帐户被删除，当前计数器值将被删除
更改为 TOTP 帐户）和一般参数（如序列号）将被
保留，除非在命令行上覆盖。

-同步 密码列表
在 HOTP 模式下，这会尝试将服务器与令牌同步 用户名。 该
密码列表 是由逗号分隔的三个连续密码列表
用户的令牌（此“自动同步”功能也可通过
本地令牌验证[3]）。 给定的序列必须与计算出的序列相匹配
究竟, 给定有效的操作参数； 例如，前导零是
显着，就像显示基数和有效的 OTP 位数一样。 如果
同步成功，用户应该能够使用下一个进行身份验证
设备生成的密码。 一种使用递增的穷举搜索算法
使用计数器值，最大数量的编译时间限制
计算。 搜索从服务器当前存储的计数器值开始，除非
一个是使用提供的 -计数器. 如果不成功，此操作可能需要很长时间
在它终止之前； 用户必须联系管理员寻求帮助。

在 TOTP 模式下，尝试确定系统时钟与
令牌的时钟并显示结果。 此信息可用于更新
用户的令牌记录以补偿不同步的时钟，或调整
验证参数。 令牌的密钥和摘要算法的名称是
为属于的令牌记录获得 用户名, 如果给出; 否则关键
提示输入并且要使用的摘要算法是从命令中获得的
行或默认值。 只有第一个密码 密码列表 用来。 这
-top-timestep, -数字及 -top-base 选项在此操作期间有效。

-测试
执行一些自检，然后退出。 非零退出状态表示发生错误。

-顶级秀 NUM
使用当前有效的参数显示一系列 TOTP 密码：
间隔大小（-top-timestep）， 位数 （-数字) 和基数 (-基础）。 该
帐户的存储参数不会被修改。 这主要用于调试
的目的。

如果一个 用户名 提供（它必须与 TOTP 设备相关联），密钥和
除非被命令行覆盖，否则将使用帐户中的其他存储参数
旗帜。 密码的顺序 NUM 当前时间之前和之后的间隔，
与当前时间的密码一起打印。

如果不 用户名 给出，程序提示输入密钥（回显）并使用
命令行标志或参数的默认值。 然后它发出 TOTP 密码
每次按下 Return/Enter 时都会显示当前时间。 键入 EOF 会导致立即
终止。

-证实 otp 值
If otp 值 是下一个预期的一次性密码，返回零退出状态到
表示成功； 任何其他值都表示失败。 如果 用户名 给定，参数
用于验证，包括密钥，是从该帐户获得的，除非被覆盖
命令行。 服务器的状态没有改变； 例如，一个 HOTP 计数器不是
先进的。 如果不 用户名 给定， -模式 必须使用标志和参数
必须提供该模式所需的信息，包括密钥。 对于 HOTP 模式，计数器值
必须提供。 对于 TOTP 模式，命令行参数在此期间有效
验证。 代币 将测试是否 otp 值 对参数进行验证
效果。

下列 变化 标志被理解：

-all
-组 和不 用户名，将更改应用于 所有 帐户。 这可以用来
例如，启用或禁用所有帐户。 这 -inkeys 和 -外键 旗帜是
荣幸。 如果发生错误处理立即停止，在这种情况下，只有一些
帐户可能已被修改。

-基础 NUM
使用 NUM 作为显示 OTP 时的基数（基数）。 的价值 NUM 仅限于
10 （默认）， 16或 32.

-计数器 NUM
这是要设置的 8 字节 HOTP 计数器值，如果前面有十六进制值，则表示为
按“0x”（或“0X”），否则为十进制。 可以省略前导零。 这意味着 HOTP
模式。 对于令牌设备，应该不可能重置计数器（模计数器
溢出），因为这将导致密码序列重复，假设
密钥没有改变； 软件实现可能没有这个限制，
但是，请注意安全隐患。

-数字 NUM
使用 NUM 显示 OTP 时的数字。 的价值 NUM 仅限于 6, 7, 8 （
默认），或 9 带底座 10. 它仅限于 6 带底座 32 并被忽略
基地 16 （十六进制输出）。

-禁用
禁用帐户 用户名。 该 本地令牌验证 模块，和 -身份验证 和
-证实 标志，将不允许用户进行身份验证，直到帐户已
已启用，但仍可能对帐户执行其他操作。 如果 -使能够
随后使用，该帐户将可用于身份验证，并且
恢复到它被禁用时的状态。 禁用一个不是错误的
已经禁用的帐户。

-使能够
启用帐户 用户名。 该 本地令牌验证 模块将允许
用户进行身份验证。 启用已启用的帐户不是错误。

-hotp 窗口 NUM
如果预期的 HOTP 密码与给定的密码不匹配，请尝试匹配
NUM 序列中预期密码之后的密码。 为零的值 NUM
禁用此搜索。

-inkeys 物品种类
要解密密钥，请使用标识的存储 物品种类，大概
在 dacs.conf 中配置。

-键 键值
使用 键值 作为密钥，表示为十六进制数字字符串。

安保行业
在命令行上提供密钥并不安全，因为它可能被其他人看到
其他过程。

-密钥文件 文件名
读取密钥，表示为十六进制数字字符串，从 文件名。 如果 文件名 is
“-”，从标准输入读取密钥。

- 按键提示
提示输入密钥，表示为十六进制数字字符串。 输入不回显。

-模式 otp模式
这指定（不区分大小写）要使用的令牌类型（OTP 设备模式）
-组, -创建，以及验证和同步操作。 这 otp模式 也许
counter 或 hotp 用于计数器模式，或 time 或 totp 用于基于时间的模式。 这个
创建新帐户时需要标志。

-外键 物品种类
要加密密钥，请使用由 物品种类，大概定义
在 dacs.conf 中。

针 平瓦尔
使用 平瓦尔 作为帐户的秘密 PIN。

安保行业
在命令行上提供 PIN 并不安全，因为它可能被其他人看到
其他过程。

-销约束 STR
而不是使用 密码约束[14]，使用 STR （具有相同的语法和
语义）来描述对 PIN 的要求。

备注
PIN 的要求适用于通过命令行标志获得的 PIN 以及那些
通过导入获得（使用“p”属性）。 要求不
但是，“追溯”，因此更改要求不会影响
现有帐户或以前导出的导入帐户（具有
“ph”属性）。

-pin文件 文件名
读取密码从 文件名。 如果 文件名 是“-”，从标准输入读取PIN。

-pin提示
提示输入密码。 输入不回显。

-rnd
保留以备将来使用。

-种子 STR
保留以备将来使用。

-serial STR
序列号， STR, 是分配给令牌的（据称）唯一标识符。
此选项与 -组, -创建及 -list 旗帜。 一个序列号
标识特定的 OTP 设备，不需要保密。 唯一性属性
在项目类型存储单元内强制执行； 即所有HOTP的序列号
设备必须是唯一的，所有 TOTP 设备的序列号必须是唯一的，如果
两种设备类型的帐户合并，所有设备序列号必须是
独特的。 接受任何可打印的字符串。 如果软件客户端正在生成
密码，您可以使用设备的序列号，或选择任何适当的描述
字符串尚未分配给设备。

备注
允许（或可能最终允许）硬件令牌和
生成软件的客户端应用程序应该考虑采用正式的
其令牌的命名方案。 例如，管理员可能将“-hw”附加到
供应商的序列号以形成 代币 序列号。 对于软件
令牌，管理员可能会创建一个 代币 通过附加序列号
“-sw”到供应商的设备序列号。

-topp-delta NUM
调整基准时间 NUM 间隔（每个步长的秒数）当
计算 TOTP。 这 NUM 可能是负数、零或正数。 这是用来纠正
用于不充分同步的时钟。

-totp-漂移 窗口
对于 TOTP，使用窗口大小 窗口 （就区间大小而言）为
验证。 如果 窗口 is 0，计算出的 TOTP 值必须与给定的值匹配
确切地。 如果 窗口 is 1例如， 代币 将尝试匹配给定的 TOTP
上一个、当前和下一个间隔的值。 这允许时钟在
系统运行 代币 （或 本地令牌验证) 和令牌生产设备
不太同步。

安保行业
虽然它补偿了不同步的时钟，但增加了
窗口 通过延长一次性密码的生命周期来削弱系统。

-totp 哈希 ALG
使用 ALG 作为具有 TOTP 的摘要算法。 的价值 ALG 仅限于（案例
不敏感）SHA1（默认值）、SHA256 或 SHA512。

-top-timestep 秒
使用 秒 作为计算 TOTP 时的间隔大小。 它必须大于零。 这
默认是 30 秒。

安保行业
虽然它补偿了不同步的时钟，但增加了
秒 通过延长一次性密码的生命周期来削弱系统。

-vfs vfs_uri
使用 vfs_uri 覆盖 VFS[33] 配置指令生效。 这可以
用于配置或重新配置 auth_token、auth_hotp_token 或 auth_totp_token
指定正在操作的帐户的存储方法。

除了打印到标准错误的错误消息外，所有输出都转到
标准输出。

通常，一个 选择权 将被指定选择代表的司法管辖区
帐户正在被管理。

示例

这些示例假定要使用的管辖区名称是EXAMPLE 及其联邦
域是example.com。

要使用此身份验证方法， DACS 管理员可能会执行以下步骤
对于分配给用户的每个 OTP 设备：

1. 获取支持的令牌，查看它如何用于身份验证，并选择值
对于各种参数。 从供应商处获取设备的密钥； 为了
一个可编程设备，选择一个合适的随机密钥并将其编程到设备中。
当前的计数器值也可以从供应商处获得，尽管它是
可能初始化为零； 对于可编程设备，将计数器值设置为
零。 决定是否需要 PIN（请参阅 TOKEN_REQUIRES_PIN[9]）。 如果一个软件
正在使用客户端，在用户的设备上安装软件（或让用户执行）
so），并配置软件。

2. 决定帐户信息的存储位置，并在必要时添加合适的
VFS[33] dacs.conf 指令。 默认（在 site.conf 中找到）维护帐户
每个司法管辖区的默认私有文件中名为 auth_tokens 的文件中的信息
区：

VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"

3. 生成密钥对账户信息进行加密（见 令牌 和 秘密 键[34]) 和
决定它们的存放位置； 例如（您的用户 ID、组 ID、路径、
管辖区名称和联邦域可能会有所不同）：

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj 示例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys

如有必要，添加合适的 VFS[33] dacs.conf 指令； 默认值，即
上面使用的，在一个名为auth_token_keys的文件中维护账户信息
每个司法管辖区的默认私人区域：

VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"

4.如果需要用户登录 dacs_authenticate(8)[2]，你必须配置一个
dacs.conf 中合适的 Auth 子句，例如：


网址“令牌”
STYLE“通行证”
控制“足够”


5. 管理员可以通过多种方式进行操作，具体取决于
努力可以由用户完成（例如，他们是否可以信任，他们的技术
能力），有多少用户（几个或数千个），以及安全级别
必需的。

1.准备一个包含 XML 记录[35] 为每个要创建的帐户； 如果
要使用PIN，为每个帐户分配一个随机PIN；

2.使用 -进口[36] 创建账户的标志；

3. 将令牌设备、用户名和（如有必要）初始 PIN 提供给用户
（也许是验证身份），提供任何必要的证明和
说明；

4.让用户设置或重置账户的PIN，并要求用户登录
使用令牌确认正确操作。

要为 HOTP 设备的用户 bobo 创建禁用帐户：

% dacstoken -uj 示例 -mode hotp -serial 37000752 -key-file bobo.key -create bobo

从文件中读取帐户的密钥（必须不存在）
bobo.key。 默认情况下禁用新帐户； 用 -使能够 创建一个启用的帐户。

创建帐户后，它可以与令牌同步。 同步
用户 bobo 的 HOTP 令牌：

% dacstoken -uj 示例 -sync 433268,894121,615120 bobo

在这个例子中，特定的令牌产生了三个连续的密码 433268，
894121 和 615120。请注意，跟在 -同步 标志是
不能有任何嵌入空格的单个参数。 如果此令牌的密钥是
19c0a3519a89b4a8034c5b9306db，这个token生成的下一个密码应该是544323
（带计数器值 13）。 这可以使用验证 -热秀:

% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a：433268
000000000000000b：894121
000000000000000c：615120
000000000000000 天：544323
000000000000000e：002442

要为用户 bobo 启用帐户：

% dacstoken -uj 示例 -enable -set bobo

为用户 bobo 设置 PIN 并启用帐户：

% dacstoken -uj 示例 -enable -pin "CzAy" -set bobo

要详细列出所有帐户：

% dacstoken -uj 示例 -long

-list 标志是多余的，因为它是默认操作。 这 -模式, -计数器等等。
修饰符在列出时无效。

仅列出 bobo 的帐户：

% dacstoken -uj 示例 -list bobo

如果此用户没有帐户，则退出状态将为非零。

要显示序列号为 37000752 的设备的帐户：

% dacstoken -uj 示例 -serial 37000752

应该唯一标识令牌的序列号通常印在令牌上
或者可以通过令牌显示。

要为 bobo 的现有帐户设置计数器值：

% dacstoken -uj 示例 -counter 9 -set bobo

此操作可用于测试或使用软件令牌。 这 -同步 操作是
更适合硬件令牌。

要更改用户名 bobo 的 PIN：

% dacstoken -uj 示例 -pin-prompt -set bobo

程序将提示输入新的 PIN。

要使用备用帐户文件 /secure/auth_tokens：

% dacstoken -uj 示例 -vfs "dacs-kwv-fs:/secure/auth_tokens" -list

要使用新密钥（做出与之前相同的假设），请将合适的 VFS 指令添加到
dacs.conf; 默认定义项目类型 auth_token_keys_prev 如下：

VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj 示例 -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj 示例 -inkeys auth_token_keys.prev -set

诊断

程序退出 0，如果发生错误则退出 1。

使用 onworks.net 服务在线使用 dacstoken