dacs - מקוון בענן

תָכְנִית:

שֵׁם

dacs - מערכת בקרת כניסה מבוזרת

תַקצִיר

dacs [-v | --מִלוּלִי] [--dumpenv] [--רישיון] [--גִרְסָה]

dacs פקודת dacs [dacsoptions[1]] [...]

פקודת dacs [-u תחילית uri | -uj שם שיפוט | -un | למעלה שם שיפוט | -נו]
[-c dacs.conf]
[-sc site.conf] [-ll ברמת רישום] [-פוּרמָט fmt] [-q] [-t] [-Dשם=ערך]
[-v | --מִלוּלִי] [--dumpenv] [--enable-dump] [--רישיון] [--std] [--גִרְסָה]

תיאור

תוכנית זו היא חלק מ- DACS סוויטה.

DACS היא מערכת אימות ובקרת גישה מבוססת אינטרנט לשימוש כללי. זה מספק
פונקציונליות כניסה יחידה ובקרת גישה גמישה לתוכן ולשירותים הניתנים
על ידי שרתי אינטרנט. DACS מורכב מ- אַפָּשׁ מודול (mod_auth_dacs[2]) שדרכו אַפָּשׁ
מתקשר עם DACS לקבל החלטות בקרת גישה, חבילה של תוכניות CGI ש
לספק DACS שירותי אינטרנט, ואוסף של פקודות שירות המספקות שונות
פונקציות תמיכה וניהול עבור DACS. חלק מהשירותים הללו, כגון
dacshttp(1)[3] ו- sslclient(1)[4], הם למטרות כלליות לחלוטין.

השמיים DACS ניתן להשתמש במנוע בקרת גישה וברכיבי אימות גם מה-
שורת פקודה, בתוך סביבת CGI או באופן עצמאי לחלוטין מהרשת.

למידע חשוב על DACS, כולל הוראות התקנה, ראה
dacs.readme(7)[5] ו- dacs.install(7)[6].

אודות DACS
לא אחריות
תוכנה זו מסופקת על ידי Dss "as is" וכל אחריות מפורשת או משתמעת,
לרבות, אך לא רק, האחריות המשתמעת של סחירות, התאמה ל
מטרה מסוימת, או אי-הפרה, נדחים. בשום מקרה לא יהיה Dss
אחראי לכל ישיר, עקיף, מקרי, מיוחד, מופתי או תוצאתי
נזקים (כולל, אך לא רק, רכישת מוצרים או שירותים תחליפיים;
אובדן שימוש, נתונים או רווחים; או הפרעה עסקית) לא משנה מה נגרמה ובכל מקרה
תורת האחריות, בין אם בחוזה, אחריות קפידה או עוולה (כולל
רשלנות או אחרת) הנובעת בכל דרך מהשימוש בתוכנה זו, גם אם
הודיעו על האפשרות של נזק כזה.

לפי המוסכמה, השמות של כולם DACS שירותי אינטרנט מתחילים בקידומת "dacs_" (למשל,
dacs_conf). החל מהגרסה 1.4.17, כל הפקודות שמיישמות DACS פונקציונלי
התחל עם הקידומת "dacs" (למשל, dacsconf). רב DACS לשירותי אינטרנט יש פקודה
אנלוגים. שמות שירותי האינטרנט שבהם נעשה שימוש פנימי על ידי DACS (כלומר, הם
שמעולם לא התקשרו ישירות על ידי משתמשים) מתחילים ב-"local_" (למשל, local_passwd_authenticate).
שירותי אינטרנט ופקודות לשימוש כללי אינם פועלים לפי מוסכמות שמות, מלבד
לא משתמש באף אחת מהקידומות שהוזכרו קודם לכן.

נעשה שימוש בהגדרות סוגי המסמכים (DTDs) שמתוחזקות בספריית dtd-xsd
כדי לתעד פורמטים של קבצים או לתאר את הטיעונים לא DACS שירות האינטרנט או תשובתו. ב
ביישום הנוכחי, קבצי DTD אלה אינם בשימוש במהלך אימות XML. תכונות
מסוג CDATA עשויים להיות אילוצים נוספים על הערכים שלהם; להתייעץ עם הרלוונטיים
תיעוד. מבחינה טכנית הקבצים אינם DTDs חוקיים, מכיוון שהם חסרים סוג מסמך
הצהרה (DOCTYPE); DOCTYPE מתאים נוצר באופן פרוגרמטי בזמן א
DTD נפלט.

חָשׁוּב
DACS אינו מונע סוגים מסוימים של התקפות נגד אתרי אינטרנט, כגון הכחשה of
שרות התקפות[7], חוצה אתרים scripting (XSS)[8] או חוצה אתרים לבקש זיוף
(CSRF)[9]. עם זאת, בשילוב עם אמצעי הגנה מתאימים לאתר אינטרנט, DACS
מספק מנגנונים להקשות על סוגי התקפות אלה.

אודות מה היא מדריך ל עמודים
התיעוד הטכני עבור DACS מורכב מסט של דפים ידניים. ב-HTML
אוסף, א מדד עמוד[10] כולל תוכן עניינים, קישורים להערות מיוחדות
בתוך התיעוד הטכני, ורשימות משתנים, הנחיות תצורה, ו
הגדרות של סוג מסמך XML.

עצה
כל דף מדריך HTML מכיל כלי לבחירת גודל גופן בסמוך לתחתיתו. אם
JavaScript מופעל, ניתן לשנות את גודל הגופן שנבחר כעת ולגופן גלובלי
ערכת העדפות. לבחירת גודל גופן לעמוד הנוכחי, לחץ על אחד מהארבעה
קופסאות. כדי להעדיף את הבחירה הנוכחית בדפים ידניים, ביקורים באתר,
והפעלות דפדפן, לחץ על כפתור "הגדר", אשר יגדיר קובץ Cookie של HTTP. אם
העדפה לא הוגדרה בצורה זו (כלומר, אין קובץ cookie) ודף ידני
מבקר עם פרמטר השאילתה DACSMANFONT מוגדר ל-0, 1, 2 או 3 (מייצג
גודל הנקודה הקטן ביותר עד הגדול ביותר), ייבחר הגופן המתאים וה-
העדפה מוגדרת אוטומטית (אם הוגדרה העדפה, הפרמטר מתעלם).

אזורי התיעוד המסומנים "אבטחה" דנים בשיקולי אבטחה חשובים;
אנא שימו לב אליהם במיוחד. אזורים שכותרתם "טיפ" מספקים מצביעים לחיסכון בזמן
(ולפעמים להפחתת החמרה) טכניקות ושיטות מומלצות.

בשמות נתיבים וכתובות URL המופיעות בדוגמאות, הטקסט "..." מייצג טקסט שיש לו
הושמט כי זה לא רלוונטי לדיון הנדון, או שעשוי להשתנות
בהתאם לפרטי תצורה, כגון היכן הותקן משהו (למשל,
.../dacs/bin/dacshttp).

אלא אם צוין אחרת, כתובות האתרים המשמשות בדוגמאות הן פיקטיביות וסביר להניח שלא
עֲבוֹדָה. לעתים קרובות נעשה שימוש בשם התחום השמור example.com (RFC 2606[11]).

בהוראות ובדוגמאות, '%' משמש בדרך כלל כדי לסמן שורת פקודה:

% תאריך
ראשון באפריל 1:15:33 PDT 11

עם זאת, לפעמים משתמשים בתו אחר כדי לסמן הנחיה, כמו מתי
הדגמת המצב האינטראקטיבי של dacsexpr(1)[12]:

> 1 + 1
2

צורה מורחבת של BNF סימון[13] משמש לתיאור תחביר בצורה תמציתית. אנו מקווים שכן
מובן ומוכר כאחד, אך עשויות להתרחש כמה אי עקביות ואי בהירות
לאורך התיעוד; זה משתפר לאט לאט. מונח בהפקה עשוי
כלול מפרט סוג ביטוי רגולרי, כאשר '+' פירושו מופע אחד או יותר
של המונח, ו-'*' אפס מופעים או יותר. כל אחד מקבוצת התווים מצוין
בתוך סוגריים מרובעים, וטווח של תווים עוקבים (ברצף קוד ASCII) הוא
מופרד במקף (למשל, [A-Za-z0-9\-_]+ פירושו "תו אלפביתי אחד או יותר,
ספרות, מקפים או קווים תחתונים"). בהקשרים אחרים, סוגריים מרובעים מציינים אופציונלי
טווח. מרכאות בודדות וכפולות מציינות תווים מילוליים. שים לב ש-XML DTDs משתמשים בהם
תחביר משלו, שהוא שונה במקצת, ובמקרים מסוימים דקדוקים עקבו אחריהם רלוונטיים
RFCs מכובדים עבור בהירות או בדוגמאות.

מפתח מושגים
כמה ממושגי המפתח המשמשים לאורך כל DACS תיעוד מוגדר בזה
סָעִיף.

חשבון
רשומה מתמשכת שמשייכת זהות (או שם משתמש) למידע על המדינה
על החשבון (כגון אם החשבון מופעל או מושבת), מידע
שנדרש כדי לאמת את הזהות (כגון תקציר של מחרוזת סיסמה),
ואולי מידע אחר הקשור לכניסה. ציין זאת DACS זהויות לא
יש בהכרח חשבון מתאים. DACS אינו מספק מנגנונים ל
לנהל סוגי חשבונות "זרים"; למשל, למרות שהוא יכול לאמת נגד
אותם, הוא לא יכול ליצור או לרשום חשבונות Unix או Windows.

אימות
ההליך שבאמצעותו אדם או תוכנית משיגים אישורים המייצגים א DACS
זהות, בדרך כלל על ידי קביעת א DACS שם משתמש המייצג זהות ו
מסירת מידע שרק זהות זו עשויה לדעת או להחזיק. לאחר
אימות מוצלח, אומרים שאדם או תוכנית אומתו. DACS
יכול להתממשק עם מגוון רחב של שיטות אימות ומספק חלק מהן
שֶׁלוֹ; ניתן להוסיף בקלות שיטות חדשות.

אישור
ההליך הקובע, בהקשר מסוים, אם בקשה לנתון
יש לאפשר משאב או אובייקט. אם זהות מורשית לבצע א
פעולה מסוימת על האובייקט, הגישה ניתנת, אחרת היא נדחית. גִישָׁה
כללי בקרה הם שיטה אחת לתיאור איזו זהות או זהויות צריכות להיות
העניקה - או נדחתה - גישה למשאב מסוים. בקרת גישה גס
כרוך בקבלת החלטה ברמה גבוהה האם צריכה להיות גישה לאובייקט
מוענק; זו בדרך כלל החלטה של ​​הכל או כלום. בקרת גישה עדינה היא
משמש בתוך תוכנית כדי להחליט אם גישה למשאב ברמה נמוכה יותר (נתונים מסוימים,
יש להעניק פונקציה ניהולית, תפריט).

שימו לב שבניגוד למערכות מסוימות, DACS אינו קובע מראש אילו משאבים מסוים
משתמש (זהות) יכול ויכול לגשת; כלומר, מנהל לא עושה רשימה
מה הזכויות שיש לכל משתמש. ההרשאה נקבעת תמיד על ידי הערכת כללים,
בזמן אמת, כאשר משתמש מבקש משאב. הפטורים היחידים לכך הם כמה
תכונות אופציונליות: הרשאה מטמון[14] ו- Rlinks[15].

אישורי
If אימות מצליח, DACS מחזיר מידע שניתן להשתמש בו
פעולות עוקבות לייצוג הזהות המאומתת. אישורים מכילים
מידע על הזהות, כגון שמה, ומטא מידע, כגון
הזמן שבו תוקף האישורים יפוג והופכים לבלתי חוקיים. אישורים מוגנים
מבחינה קריפטוגרפית כך שקשה לזייף או לשנות אותם. הם חייבים להישמר
סוד, כך שהזהות לא יכולה לשמש אף אחד מלבד בעליה, וחייבים
ללוות בקשה שהוגשה לשרת כך DACS יודע מי מגיש את הבקשה. ה
מנגנון מסוים המשמש לכך אינו חשוב בתנאי שהאישורים אינם יכולים להיות
הועתק ועשה שימוש חוזר; העברת אישורים באמצעות המטען של קובץ Cookie של HTTP
חיבור SSL אופייני, אם כי שליחת אישורים כערך של HTTP
כותרת הרחבה היא אפשרות נוספת.

למרות שאין הגבלה ספציפית על גודל האישורים עד כמה DACS is
מודאגים, מכיוון שהם יכולים להיות מובלעים בתוך קובץ Cookie של HTTP ולהחזיר אותם ל-a
בדפדפן, יש לשקול היטב אילוצים על קובצי Cookie שנכפו על ידי דפדפנים.

כל תחום שיפוט יכול להבין אישורים שהופקו על ידי כל תחום שיפוט אחר בתוכו
אותה פדרציה. לכן, משתמש צריך לעבור אימות פעם אחת בלבד כדי לגשת
שירותי אינטרנט בכל תחום שיפוט המשתמשים בזהות זו.

שים לב כי ב DACS, אישורים אינם נותנים לבעליהם זכויות כלשהן או מעבירות זכויות כלשהן
הרשאה; DACS לא מבוסס יכולות מערכת[16]. אישורים פשוט מייצגים
a DACS זהות.

עיין dacs_authenticate(8)[17] לפרטים.

נוֹכְחִי לבקש
האירוע שהפעיל את בדיקת ההרשאה המעובדת על ידי
dacs_acs(8)[18] מכונה הבקשה הנוכחית. לבקשה עבור א
DACS-משאב אינטרנט עטוף, זו תהיה בקשת ה-HTTP שמתקבלת על ידי האינטרנט
שרת עבור המשאב. במצבים שבהם dacs_acs אינו מעורב, כגון מתי
dacscheck(1)[19] או dacsexpr(1)[12] משמשים, הבקשה הנוכחית וההקשר שלה
המצוין על ידי ארגומנטים של שורת הפקודה או מתקבלים מה- הוצאת להורג
סביבה[20].

dacs_acs שימושים ${DACS::URI} כמרכיב הנתיב של הבקשה הנוכחית. זה
מתקבל מאפצ'י של רכיב של request_rec הנוכחי. זו המחרוזת ש
משמש להתאמה מול כללי בקרת גישה.

אחר DACS רכיבים קובעים את בקשת ה-HTTP הנוכחית על ידי בחינת כמה
משתני סביבה: HTTP_HOST (אוֹ SERVER_NAME ו SERVER_PORT), REQUEST_URI,
QUERY_STRING, ו HTTPS.

הערך של ${DACS::URI} ומרכיב הנתיב של ${Env::REQUEST_URI} אינם
בהכרח זהה. לאחר הפניה פנימית, למשל, הערך של האחרון הוא
מכתובת ה-URL המקורית, בעוד שהקודמת היא מהיעד של ההפניה מחדש.

מחרוזת הבקשות הנוכחית חשובה מכיוון שהיא עשויה לשמש כדי לקבוע את
נוֹכְחִי פדרציה[21] ו- נוֹכְחִי שיפוט[22], ומשום שהוא משמש כאשר
מחפש את כלל בקרת הגישה שיחול על הבקשה.

DACS
המורכב משירותי אינטרנט מבוססי CGI, א אַפָּשׁ מודול 2.0/2.2, ואוסף של
כלי עזר, DACS מספק פונקציונליות של אימות והרשאה. שָׁקוּף,
בקרת גישה מבוססת תפקידים זמינה עבור משאבי אינטרנט.

בקרת גישה פרוגרמטית, מבוססת תפקידים למטרות כלליות, זמינה כמעט לכל אחד
תוכנית (באמצעות dacscheck(1)[19]). זה מנותק לחלוטין מאפאצ'י.

DACS מנהל
אדם (או יחידים) האחראי על ניהול התפעול של DACS is
נקרא א DACS מנהל (לפעמים רק "המנהל"). הפרט הזה הוא
לא בהכרח מנהל מערכת (למשל, משתמש-על או שורש), אם כי קטן
מספר רכיבים אופציונליים של DACS חייב להפעיל כשורש משתמש או קבוצה. ה DACS
מנהל לא צריך להיות אַפָּשׁ מנהל; פַּעַם אַפָּשׁ הוגדר עבור
DACS זה בדרך כלל דורש מעט מאוד שינויים לאחר מכן. ה DACS מנהל
אחראי על הגדרה ובדיקה DACS (כנראה מתקין ומשדרג אותו,
גם), ניהול חשבונות משתמש וכללי בקרת גישה, שמירה על אבטחה, גיבוי
למעלה קבצי תצורה ונתונים, וכן הלאה. העיצוב של DACS מאפשר נציגות כלשהי
של אחריות, בעיקר על בסיס הרשאות קובץ. כאשר מופעל כשירות אינטרנט,
כל אחת מהזהויות המוגדרת כ-a ADMIN_IDENTITY[23] הוא למעשה א DACS
מנהל; בהקשר זה, למשתמש-על של המערכת אין משמעות.

DACS זהות
לכל משתמש מאומת מוקצה שם המורכב מהשם של
תחום שיפוט מאמת, שם הפדרציה שלו ושם משתמש. כל אחד מהשמות הללו
רכיבים חייבים להיות נכונים מבחינה תחבירית. בהקשרים מסוימים שם הפדרציה הוא
משתמע; לפעמים גם שם תחום השיפוט מרומז. ישויות כגון
יחידים (אנשים, אבל גם תוכניות, מכשירים וכו'), פדרציות, סמכויות שיפוט,
ולקבוצות יש שמות. באחריות תחומי השיפוט לאמת
משתמשים. התחביר, המשמעויות והייחודיות של שמות הם גם סוגיית שיפוט,
ואולי גם נושא כלל הפדרציה.

לכל ישות בעולם האמיתי יש בדרך כלל ייחודיות DACS זהות, אבל זה נשאר בידיים
אימות תחומי שיפוט. שתי זהויות או יותר נבדלות אם הן אינן מתייחסות
לאותו אדם בעולם האמיתי. זהות מאוחדת או כניסה יחידה (SSO) היא
היכולת לזהות זהות משתמש על פני תחומי שיפוט ואפילו על פני פדרציות.

חָשׁוּב
זכור כי ללא קשר לשיטת האימות ופרטי החשבון
בשימוש, שני שמות משתמש זהים (ביחס לאותה תחום שיפוט ולקחת לתוך
חשבון NAME_COMPARE[24]) הם במשתמע להניח ל להתייחס ל מה היא אותו זהות by
DACS. למשל, מישהו שאושר כ-augie על ידי מתן המסמך הנכון
כמעט ולא ניתן להבחין בין סיסמת יוניקס לבין מישהו שאימת כ
auggie באמצעות כרטיס מידע. אישורי המשתמש כוללים מידע על
שיטת האימות המעורבת ביצירתם וב מִשׁתַמֵשׁ()[25] פונקציה יכולה
ישמשו להשגת מידע זה, אך לא יהיה חכם לבסס על זה זהויות
זֶה. מומלץ מאוד כי חדש DACS סמכות שיפוט לפתח בקפידה
תוכנית הרחבה לשמות משתמש.

DACS-עטוף
אומרים שהוא משאב אינטרנט DACS-עטוף אם שרת האינטרנט האחראי על
קריאות משאבים DACS (באופן יותר ספציפי, dacs_acs(8)[18]) לבצע בקרת גישה
החלטה בכל פעם שהיא מקבלת בקשה למשאב.

פדרציה
A DACS הפדרציה מורכבת מתחום שיפוט אחד או יותר. תחומי השיפוט הכוללים
פדרציה מתאמת שיתוף מידע באמצעות שיטות עסקיות קלות משקל
מיושם כדרישת חברות בא DACS פֵדֵרַצִיָה; במילים אחרות, ה
חברי פדרציה בדרך כלל מסכימים לשמור על כללי התנהגות מסוימים
לשמור על האבטחה הכוללת וכדי שמשתמשים יוכלו להשיג תועלת מרבית. פדרציה
המורכב מתחום שיפוט אחד בלבד אינו יוצא דופן.

פריט סוג
סוג פריט הוא שם שממפה ל-a VFS[26] (חנות קבצים וירטואלית) מפרט זה
מגדיר כיצד והיכן מאוחסנים נתונים. רמת העקיפה שהם מספקים
פירוש הדבר שניתן להגדיר כללי בקרת גישה, למשל, להיות רגילים
קבצים, מסד נתונים של Berkeley DB, מסד נתונים מרוחק שאליו הגישה HTTP, וכן הלאה - הכל
שנדרש הוא שסוג הפריט acls יוגדר כהלכה. כמה סוגי פריטים
(כמו acls) שמורים ויש להם משמעות מיוחדת ל DACS, בעוד שאחרים יכולים לשמש
a DACS מנהל למטרות אחרות. שם סוג פריט הוא תלוי רישיות ו
מורכב מאלפאנומריות, מקפים וקווים תחתונים, אך חייב להתחיל באלפביתי
אופי.

שיפוט
A DACS סמכות השיפוט היא ישות מנהלית אוטונומית המאמתת אותה
משתמשים, מספק שירותי אינטרנט, או שניהם. זה עשוי להתאים לארגון,
מחלקה, שרת אינטרנט או מארח וירטואלי. תחומי שיפוט נוצרים לפעמים בפשטות
נוחות ניהולית. לכל תחום שיפוט מוקצה שם ייחודי בתוך א
פֵדֵרַצִיָה.

תחום שיפוט ביתי של משתמש הוא תחום שיפוט שיכול לאמת את אותו משתמש. ב
מצבים שבהם למשתמש יש מספר אישורים שהתקבלו משונים
סמכויות שיפוט, סמכות השיפוט הביתית האפקטיבית לבקשה תלויה באיזה
אישורים נבחרים במהלך עיבוד ההרשאות. הנחיות תצורה הן
זמין כדי להגביל את מספר קבוצות האישורים שעשויים להתלוות לבקשה.

המשתמש סוכן
סוכן משתמש הוא תוכנה בצד הלקוח שמקיימת אינטראקציה עם תוכנות אחרות (שרת
בקשה, בדרך כלל) מטעם א המשתמש. משתמש הוא לעתים קרובות אדם אבל יכול גם להיות
תוֹכנָה. דפדפן אינטרנט, המשמש לאינטראקציה עם שרת אינטרנט, הוא דוגמה לכך
סוכן משתמש.

שיום
DACS צריך למנות מגוון דברים כדי שניתן יהיה להתייחס אליהם בביטויים,
כללי בקרת גישה, הנחיות תצורה וכן הלאה. בעוד תחביר URI רגיל
שם כמה סוגים של אובייקטים בתוכם DACS, DACS יש גם סכימות שמות תמציתית משלה.

הערות
המונחים הפדרציה הנוכחית (תחום שיפוט נוכחי) והפדרציה הזו (זה
תחום שיפוט) משמשים בתיעוד כדי להפנות לפדרציה (תחום שיפוט)
הקשורים להקשר התצורה בתוקף בזמן DACS מעבד בקשה.

באופן כללי, שם הפדרציה רכיב של שם הוא אופציונלי; אם נעדר, ה
ההנחה הפדרציה הנוכחית. באופן דומה, ה שם שיפוט עשוי להיות elided ואת
סמכות השיפוט הנוכחית משתמעת.

פדרציות
תחביר:

שם הפדרציה::

דוגמא:

הַדגָמָה::

השמיים שם הפדרציה (מתקבל בדרך כלל מא FEDERATION_NAME[27] תצורה
directive) חייב להתחיל בתו אלפביתי ואחריו אפס או יותר
אלפאנומריה, מקפים וקווים תחתונים. א שם הפדרציה הוא מקרה מטופל בדרך כלל
ברגישות (אבל ראה את NAME_COMPARE[24] הוראת התצורה וה- מִשׁתַמֵשׁ()[25]
פונקציה להתנהגויות חלופיות). אין a אפריורי הגבלה על אורכו.

השמיים FEDERATION_DOMAINההנחיה [28] מציינת את סיומת שם הדומיין המשותפת לכולם
סמכויות שיפוט בפדרציה.

שיפוט
תחביר:

[[שם הפדרציה:: | [::]] שם שיפוט:

דוגמאות:

הדגמה::DSS:
::DSS:
DSS:

השמיים שם שיפוט (מתקבל בדרך כלל מא JURISDICTION_NAME[29] תצורה
directive) חייב להתחיל בתו אלפביתי ואחריו אפס או יותר
אלפאנומריה, מקפים וקווים תחתונים. א שם שיפוט מטופל בדרך כלל
ברגישות לאותיות גדולות (אבל ראה את NAME_COMPARE[24] הוראת התצורה וה-
מִשׁתַמֵשׁ()[25] פונקציה עבור התנהגויות חלופיות). אין a אפריורי הגבלה על שלה
אורך.

משתמש
תחביר:

[[[שם הפדרציה:: | [::]] שם שיפוט]:שם משתמש

דוגמאות:

הדגמה::DSS:auggie
::DSS:אוגי
DSS:auggie
:אוגי

מלא DACS הזהות כוללת רכיב שם פדרציה ושם תחום שיפוט
רכיב, בנוסף ל שם משתמש. זה מסופק ל DACSתוכניות עטופות כמו
ערך ה- DACS_IDENTITY[30] משתנה סביבה.

רכיב שם המשתמש, הזמין לתוכניות CGI כערך של
DACS_USERNAME[31] משתנה סביבה, מורכב מתווי ASCII אחד או יותר מ
קבוצת האותיות הגדולות והקטנות, הספרות וסימני הפיסוק הבאים
תווים:

! # $ % & ' - . ; ? @ [ ^ _ ` { }

כל התווים בעלי ערך קטן מ-041 (אוקטל) או גדול מ-0176 (אוקטל) הם
חוקי, וכך גם התווים הבאים:

* , : + ( ) ~ < > = | \/"

הערות
· בנוסף לתווים האלפאנומריים, RFC 2396[32] מאפשר רק את
הדמויות הבאות ("pchar") כדי להופיע ברכיב הנתיב של URI:

- _ . ! ~ * ' ( ) % : @ & = + $ ,

· כמה כתובות דוא"ל חוקיות אינן חוקיות DACS שמות משתמש. לדוגמה,
*bob*@example.com, "(bob)"@example.com ו-\(bob\)@example.com חוקיים
שמות תיבות דואר כפי שהוגדרו על ידי RFC 822[33] (נספח ד') ונדון ב RFC
3696[34] (סעיף 3), אבל שניהם פסולים כמו DACS שמות משתמש. אלא אם כן מצוטט,
רכיב ה-local-part של כתובת דואר אלקטרוני, שקודם לתו "@".
ב-adr-spec, עשוי שלא להכיל אף אחד מ:

( ) < > @ , ; :\" . [ ]

בנוסף, הרווח וכל תווי הבקרה של US-ASCII (אוקטטים 0 - 31)
ו-DEL (127) אסורים. ללא מרכאות, החלק המקומי עשוי להיות מורכב מ
כל שילוב של אלפביתי, ספרות או כל אחד מהתווים הבאים:

! # $ % & ' * + - / = ? ^ _ `. { | } ~

ניתן להשתמש בנקודה ("."), אך לא להתחיל או לסיים את ה-local-part, וגם לא
מופיעות שתי תקופות רצופות או יותר. בתוך מירכאות כפולות, כל ASCII
דמות עשויה להופיע אם צוטט כהלכה (למשל, Auggie."
".O."\'".[מוגן בדוא"ל]). האורך המרבי של החלק המקומי הוא 64
תווים, והאורך המרבי של רכיב הדומיין שמופיע אחריו
התו "@" הוא 255 תווים.

כרגע אין דרך "לצטט" א DACS שם משתמש, אז קצת קידוד בטוח
יש להחיל שיטה או טרנספורמציה על שמות אלה.

· DACS עשוי ליצור זהויות לשימוש פנימי עם רכיבי שם משתמש ש
לכלול תווים שאינם חוקיים בדרך כלל.

א שם משתמש הוא רגיש לאותיות גדולות (אך ראה את NAME_COMPARE[24] תצורה
ההנחיה וה מִשׁתַמֵשׁ()[25] פונקציה עבור התנהגויות חלופיות). אין a
אפריורי הגבלה על אורכו.

· הפרקטיקה המומלצת היא שתחומי השיפוט ימפו את שלהם DACS שמות משתמש ל
אותיות קטנות במהלך הליך האימות במידת האפשר וכאשר
מיפויים הם ייחודיים. ה יְצִיאָה*[35] ניתן להשתמש בהוראה למטרה זו.

קבוצות
תחביר:

[[שם הפדרציה:: | [::]] %[שם שיפוט]:שם הקבוצה

A שם הקבוצה חייב להתחיל בתו אלפביתי ואפשר אחריו כל מספר
של תווים אלפאנומריים, מקף ("-") וקו תחתון ("_").

דוגמאות:

%DEMO::DSS:חברים
%::DSS:חברים
%DSS:חברים
%:חברים

תפקידים ומתארי תפקידים
תחביר:

מתאר תפקידים -> ריק מחרוזת | רשימת תפקידים

רשימת תפקידים -> תפקיד | תפקיד "," רשימת תפקידים

תפקיד -> בסיסי-תפקיד | מרוכב-תפקיד

בסיסי-תפקיד -> [A-Za-z0-9\-_]+
מרוכב-תפקיד -> בסיסי-תפקיד "/" בסיסי-תפקיד | בסיסי-תפקיד "/" מרוכב-תפקיד

ריק מחרוזת -> ""

מחרוזת מתאר תפקידים (נקראת גם מחרוזת תפקיד או מתאר תפקידים) מורכבת מ
רשימה מופרדת בפסיקים של תפקידים. שם תפקיד (א בסיסי-תפקיד) בנוי מ
אותיות גדולות וקטנות, ספרות, מקפים וקווים תחתונים. א מרוכב-תפקיד is
בנוי משניים או יותר בסיסי-תפקיד מונחים, מופרדים באמצעות תו לוכסן. כאן
הן שלוש דוגמאות לתיאור תפקיד:

אדמין, גלגל, שורש
מנהל/חומרה
רשתות/תכנות, מדעי המחשב/מערכות/Project_X

הערות
מחרוזת מתאר תפקידים אינה מכילה תווי רווח לבן ועשויה לא להתחיל או
מסתיים בפסיק או תו לוכסן. שני פסיקים עוקבים או יותר אינם חוקיים,
כמו שני חתכים רצופים או יותר.
השמיים setvar()ניתן להשתמש בפונקציה [36] כדי להפריד תפקיד מורכב לבסיס שלו
תפקידים.

נא עיין dacs.groups(5)[37] למידע נוסף.

תחביר משתמש תמציתי
תחביר:

זיהוי -> '{' רשימת kwv '}' | המשתמש
רשימת kwv -> kwv [',' kwv]*
kwv -> משתמש kwv | קבוצת kwv | kwv-attr | kwv-ip | תוקף kwv
משתמש kwv -> 'u=' [ש] המשתמש [ש]
קבוצת kwv -> 'g=' [ש] קבוצות [ש]
kwv-attr -> 'a=' [ש] attr [ש]
תוקף kwv -> 'e=' [ש] פג [ש]
kwv-ip -> 'ip=' [ש] ip-addr [ש]

המשתמש -> שם פשוט | DACS-זהות
קבוצות -> קבוצה [',' קבוצה]*
קבוצה -> שם הקבוצה | מתאר תפקיד
attr -> כל אלפביתי
ip-addr -> כל-IP-addr
פג -> +rel-secs | נתונים

שם:

· Q הוא תו אופציונלי (תואם) במירכאות;

· רווח לבן עשוי להיות קודם לרוב האסימונים;

· א DACS-זהות הוא מלא או מקוצר DACS זהות[38]

· א שם פשוט האם ה שם משתמש מרכיב של א DACS זהות (כלומר, ללא כל
נקודתיים); לפיכך, בהקשר זה מתייחסים לשם "מיוחד", כגון אישור
כמו :auth

· מתאר תפקיד חייב להיות תקף DACS מחרוזת תפקידים ו שם הקבוצה חייב להיות תקף
DACS שם הקבוצה (ראה dacs_authenticate(8)[39] ו- dacs.groups(5)[40]);

· כתובת IP באה לידי ביטוי בסימון הנקודות המספריות הסטנדרטיות באינטרנט (למשל,
10.0.0.1); ו

· משך החיים של אישורים הנגזרים מהזהות יכול לבוא לידי ביטוי כ-
מספר שניות נתון (למשל, "e=+3600") או תאריך נתון באחד מהבאים
פורמטים (ראה זמן זמן(3)[41]):

%a, %d-%b-%Y %H:%M:%S GMT
%d-%b-%Y
%b %d, %Y
%b %d
%Y-%m-%dT%H:%M:%SZ

במידת הצורך, התאריכים מתפרשים ביחס לשעה או לתאריך הנוכחיים. ה
זמן החיים מומר לצורתו הקנונית, שהיא השעה והתאריך המוחלטים
בשניות מאז התקופה, בהתבסס על השעון של אזור השיפוט. דייט בעבר
ניתן לציין; זה עשוי להיות שימושי לבדיקה, למשל. אם הזהות
אינו משמש ליצירת אישורים, מתעלמים מתאריך התפוגה, למרות שהוא חייב להיות
נכון תחבירית.

· ערך התכונה הנתמך היחיד הוא "a", מה שאומר שהזהות צריכה להיות
התייחסו כאל ADMIN_IDENTITY[23] (עיין ב -אדמין דגל של dacscheck(1)[19]).

שם שבא לידי ביטוי בתחביר התמציתי, נותן שם משתמש ובאופן אופציונלי, תפקידים ו
תכונות לזהות. הוא משמש על ידי dacscheck(1)[19], למשל.

השמיים dacs שירות
DACS פקודות שירות מותקנות בדרך כלל כקבצים בינאריים נפרדים, אבל DACS יכול (גם או
במקום זאת) להיבנות עם רובם משולבים לבינארי יחיד שמותקן כ
dacs. לאחר מכן ניתן להפעיל את תוכניות השירות השונות כ:

% dacs פקודת dacs [dacsoptions] [אפשרויות פקודה]

לדוגמה:

% dacs dacskey -u foo.myfed.com outfile

מפעיל את dacs כלי עזר ללא ארגומנטים יציג את רשימת פקודות המשנה הזמינות.

Start-up תהליך
גשר DACS תוכניות מבצעות את הפעולות הבאות כשהן מתחילות:

1. קבע את ה"מצב" שבו הם צריכים לפעול; למשל, אם ה REMOTE_ADDR
משתנה סביבה קיים, תוכניות יניחו באופן כללי שהן צריכות לפעול כ- a
יישום אינטרנט ולא כפקודה של כלי עזר

2. עבד קבוצה סטנדרטית של ארגומנטים של שורת הפקודה (dacsoptions[42])

3. הגדר את התהליך umask ל-007 כדי לא לאפשר גישה לעולם עבור קבצים שנוצרו

4. השבת dump core כך שלא ניתן לחשוף מידע רגיש על ידי בדיקתם
(אבל ראה --enable-dump[43])

5. סרב לפעול אם לא ניתן למצוא קובץ תצורה כלשהו או שיש לו שגיאה

6. עבור שירותי אינטרנט, הפוך את DACS ספריית הבית ספריית העבודה הנוכחית

7. אם "מצב מאובטח" הופעל, שירותי אינטרנט יעבדו רק בקשות HTTPS

8. ודא שהגרסה הנדרשת בבקשה תואמת את הגרסה של DACS
קבלת הבקשה

9. עבד כל ארגומנט שורת פקודה ספציפי לתוכנית.

DACS תוכניות עושות מאמץ להרוס מידע רגיש (כגון סיסמאות) בהקדם
מכיוון שאין בו עוד צורך ולא לכתוב מידע שעלול להיות רגיש לקובצי יומן
אלא אם מוגדר ספציפית לכך.

פנימיים
כמה DACS רכיבים עשויים לקרוא לרכיבים אחרים באמצעות HTTP (אולי דרך SSL, תלוי ב
תְצוּרָה). לדוגמה, ניתן להפעיל מודולי אימות כשירותי אינטרנט על ידי
dacs_authenticate(8)[39]. בכל המקרים, קריאות HTTP "פנימיות" אלו עשויות שלא לגרום ל-
ניתוב מחדש, כגון באמצעות קוד סטטוס 302 נמצא. למרות שזה לפעמים יכול להיות
אי נוחות, זה, בחלקו, אמצעי אבטחה.

עצה
בעת איתור באגים בבעיה שעשויה להיות כרוכה בבקשת HTTP פנימית (קשורה במיוחד
לאימות), לאמת זאת DACS אינו מקבל הפניה מחדש. HTTP פנימי
בקשות עלולות להיכשל באופן מסתורי בגלל תצורה לא נכונה או לא מלאה
של פרמטרי SSL. בקשות HTTP פנימיות על שימוש ב-SSL sslclient(1)[4], כמו גם ה
dacshttp(1)[3] פקודה. אם אתה חושד שכתובת אתר מתוכננת https לא עובדת,
נפה באגים בבעיה באמצעות sslclient ולאחר מכן dacshttp.

כדי לשמור על עקביות נתונים, DACS יוצר מנעולים בלעדיים באמצעות fcntl(2)[44] מערכת
התקשר לקבצים שנכתבו בספרייה שהוגדרה דרך TEMP_DIRECTORY[45]
הוראה.

רישום
גשר DACS שירותים וכלי עזר כותבים סוגים שונים של הודעות לקובץ יומן אחד או יותר.
הודעות אלו עשויות להיות חשובות כאשר מנסים להבין מה DACS עושה, עבור
ביקורות אבטחה, או לראות אילו DACS-משאבים עטופים ניגשים ובמה
דרכים.

נא עיין dacs.conf(5)[46] למידע על הנחיות תצורה הקשורות ל
רישום. מבחר של דגלי שורת פקודה, המתוארים להלן, קשורים גם הם
רישום.

הערות
· DACS יכול לפלוט הודעות יומן לפני השלמת עיבוד התצורה ו
הנחיות תצורה הקשורות לרישום לא בתוקף במהלך זה
מרווח הפעלה.

· כי mod_auth_dacs[2] הוא an אַפָּשׁ מודול, אַפָּשׁ חלות הנחיות רישום
אליו (ולא ה DACS הנחיות) והודעות היומן שלה נכתבות אל אַפָּשׁ היכנס
קבצים.

· קובצי יומן יכולים להפוך לגדולים במהירות, במיוחד כאשר רמת הרישום מוגדרת ל
רמות ניפוי באגים או מעקב. שקול רוטציה יומית או קטיעה.

· הטקסט של הודעת יומן עשוי מדי פעם להשתרע על מספר שורות.

ערך ברירת המחדל של LOG_FORMAT[47] הנחיה, השולטת במראה היומן
הודעות, מוגדר ב-include/local.h כ-LOG_FORMAT_DEFAULT_WEB עבור DACS שירותי אינטרנט
ו-LOG_FORMAT_DEFAULT_CMD עבור כל השאר. הנה הודעת יומן טיפוסית:

[ד' יולי 12 12:37:09 2006] [מעקב] [83648,1060,-] [dacs_acs:"acslib"] אפשר
סעיף מעניק גישה

Audit-Class התחבר מסרים
במקרה של הודעות מסוג ביקורת, מחרוזת בתוך סוגריים עשויה לפעמים להופיע
זהות, כמו בדוגמאות שלהלן. מחרוזת זו, הנקראת עוקב, משייכת יומן
הודעות עם מקור מסוים וניתן להשתמש בהן כדי להתחקות אחר רצף המשתמש של
בקשות שירות באמצעות הודעות יומן בכל פדרציה. זה יכול להיות שימושי כאשר
איתור באגים, חיפוש בעיות אבטחה או ניתוח משפטי.

עבור משתמש לא מאומת, ניתן להפיק את הגשש רק בצורה היוריסטית, מ
מרכיבים של הקשר הביצוע. כתובת ה-IP של המשתמש, מחרוזת סוכן המשתמש ו-SSL
נעשה שימוש בתעודת לקוח, כאשר היא זמינה. אם שתיים ממחרוזות המעקב הללו שונות,
הבקשות מגיעות בדרך כלל ממארחים, מדפדפנים או משתמשים שונים, אבל זה
לא בהכרח תמיד המצב. באופן דומה, אם אותה מחרוזת גשש היא
הקשורים לשתי הודעות יומן, בקשות השירות אינן בהכרח
שהונפקו על ידי אותו משתמש.

עבור משתמש מאומת, מחרוזת המעקב מורכבת מהמחרוזת הנגזרת בצורה היוריסטית
מחרוזת, ואחריה פסיק, ואחריה מחרוזת המשויכת באופן ייחודי לזו של המשתמש
אישורים. לגשש זה יש סבירות גבוהה להיות ייחודי ובעל א
מיפוי אחד לאחד עם משתמש מסוים.

שקול את ערכי קובץ היומן (המרוכזים) הבאים:

[ד' יולי 12 15:56:24 2006] [הודעה] [83963,1067,A] [dacs_acs:"authlib"]
*** גישה ניתנת למשתמש לא מאומת (7vJLWzv5) מתאריך 10.0.0.124
עבור /cgi-bin/dacs/dacs_current_credentials

[ד' יולי 12 15:56:27 2006] [הודעה] [83965,1073,A] [dacs_acs:"authlib"]
*** גישה ניתנת למשתמש לא מאומת (7vJLWzv5) מתאריך 10.0.0.124
עבור /cgi-bin/dacs/dacs_authenticate

[Wed Jul 12 15:56:27 2006] [debug] [83966,172,A] [dacs_authenticate:"authlib"]
האימות הצליח עבור HOME:bobo (7vJLWzv5,wA/Pudyp3f0)

[ד' יולי 12 15:56:30 2006] [הודעה] [83973,1078,A] [dacs_acs:"authlib"]
*** גישה ניתנת ל-DSS::HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
מ-10.0.0.124 עבור /cgi-bin/dacs/dacs_current_credentials

בשתי הראשונות של הודעות היומן שלמעלה, המעקב 7vJLWzv5 מופיע, כלומר
שתי הבקשות הגיעו כנראה מאותו משתמש (לא מאומת). עם השלישי
הודעת יומן, המשתמש אומת והמעקב 7vJLWzv5,wA/Pudyp3f0 הוא
בשימוש. מכיוון שהעוקבים האלה חולקים את אותה קידומת, שתי הבקשות הראשונות
כנראה הגיע גם ממישהו שאושר כ-DSS::HOME:bobo. הבקשה האחרונה,
עבור /cgi-bin/dacs/dacs_current_credentials, בהחלט הגיע מאותו משתמש. אם זה
המשתמש היה צריך לצאת ואז להוציא בקשות שירות נוספות בכל מקום בפדרציה
DSS, כל הודעת יומן תכיל את המעקב 7vJLWzv5.

אבטחה
קשה לבצע מעקב אחר בקשות של משתמשים אנונימיים בצורה מהימנה. א
גישה מבוססת עוגיות עשויה להצליח במצבים מסוימים, אך יש לה חסרונות משלה
(כגון חוסר אפקטיביות מוחלטת כאשר המשתמש ביטל קובצי Cookie).

מעקב משתמש פעילות
DACS כולל תכונה, מופעלת כאפשרות זמן בנייה (ראה dacs.install(7)[48]), לפיו
תחום שיפוט יכול לעקוב אחר הפעילות של כל המשתמשים שלו (כלומר, אותם משתמשים
לאמת בשטח השיפוט). כל אירוע אימות מוצלח, יציאה מפורשת
ניתן להקליט אירוע, ואירוע בקשת שירות אינטרנט שנשלח על ידי המשתמש בביתו של המשתמש
סמכות שיפוט במתכונת שהוגדרה על ידי dacs_user_info.dtd[49]. מידע זה יכול להיות
חשוב להבנה טובה יותר של מה שקורה בפדרציה,
כולל עזרה באבחון בעיות ביצועים ואבטחה. זה הבסיס לתכונות
כמו תצוגות של פעילות אחרונה בחשבון, והוא עשוי לשמש גם ליצירת חדש
יכולות, כגון מגבלת כניסה בו-זמנית או רכיב אימות אדפטיבי ל
ליישם אימות שכבות או אימות מבוסס סיכונים.

כדי לציין היכן וכיצד תחום שיפוט ביתי צריך לשמור את הרשומות הללו, ה-user_info
יש להגדיר את סוג הפריט באותו תחום שיפוט; אם זה לא מוגדר, לא יהיו רשומות
נכתב באותו תחום שיפוט, למרות שתחום השיפוט עדיין ינסה לשלוח אירוע
רשומות לתחומי שיפוט אחרים. לתועלת מרבית, התכונה צריכה להיות מופעלת בכלל
סמכויות שיפוט בפדרציה שכן כל פעילות המשתמשים ברחבי הפדרציה יכולה אז
להיות מחובר.

אם תחום שיפוט רוצה לפקח על פעילות המשתמשים שלו בתחומי שיפוט אחרים, הוא
חייב לאפשר לאותם תחומי שיפוט להפעיל את זה dacs_vfs(8)שירות [50] על ידי הוספת an
כלל בקרת גישה מתאים.

אבטחה
זה קריטי לכל כלל כזה לדרוש את dacs_admin()[51] פרדיקט.

הערות
· dacs_admin(8)כלים [52] מספקים ממשק לרשומות אלו. זה אמור
בסופו של דבר יורחב כדי לאסוף ולארגן רשומות שנמצאו בכל תחומי השיפוט
בפדרציה כדי להקל על הניתוח. מכיוון שהם קבצי טקסט עם א
פורמט פשוט יחסית, מנהלי מערכת לא צריכים להתקשות ליישם
כלים נפוצים לעיבוד טקסט או לכתוב תוכניות קצרות ומותאמות אישית למטרה זו.
פקודות מקבילות ל אחרון(1)[53], מי(1)[54] ו sa(8)[55] נמצאים בבחינה.

· כל תחום שיפוט צריך לכתוב רשומות למקום שלו (כלומר, תחומי שיפוט
לא צריך לשתף את אותו אובייקט VFS עבור user_info).

· מסד נתונים זה יגדל ללא הגבלה; מנהל אחראי לרוטציה
או לקצץ אותו. אם חשוב מידע על כניסה קודמת ופעילה (ראה
dacs_current_credentials(8)[56]), גזום רק את רשומות הבקשות (כלומר, ה-acs
אלמנטים). שיטה מקובלת נוספת היא להשליך (או לארכיון) חלק מסוים של
רשומות ישנות יותר (נגיד, חצי) ולשמור כמה מהרשומות החדשות יותר.

· פורמט הנתונים נתון לשינויים.

· ייתכן שתתווסף הנחיה להפעיל או לבטל תכונה זו בזמן ריצה.

· אירועים מנהליים פנימיים אינם נרשמים.

· בגלל התנתקות (via dacs_signout(8)[57]) הוא אופציונלי, סוף הפעלה
לפעמים ניתן להסיק או לעלות בקירוב רק מפקיעת האישורים או
השעה של האירוע האחרון שהוקלט.

אפשרויות

DACS תוכניות ושירותי אינטרנט מקבלים חלק גדול ממידע תצורת זמן הריצה שלהם על ידי
קריאת קבצי תצורה ובחינת משתני סביבה. כמה תצורה
ניתן לספק מידע בזמן הידור. ניתן להשתמש במספר דגלי שורת פקודה
לעקוף את התנהגות ברירת המחדל.

הערות
· את כל dacsoptions דגלים מעובדים משמאל לימין וחייבים להופיע לפני כל
דגל או ארגומנט ספציפי לפקודה. הדגל או הטיעון הראשון שלא
מוכר כאחד מה dacsoptions מסיים את הרשימה.

· החשוב ביותר dacsoptions הם אלה שמציינים את המיקום של
קובצי תצורה ולזהות את תחום השיפוט לשימוש בתוך א
קובץ תצורה. בהתאם לתוכנית ולאופן השימוש בה, תצורה
ייתכן שאין צורך במידע, עשוי להיות אופציונלי, או עשוי להיות נדרש.

· לכל היותר אחד מדגלי שורת הפקודה לבחירת תחום שיפוט יכול להיות
נָקוּב. מתייחס dacs.conf(5)[46] למידע נוסף על
קובץ תצורה ועיבוד תצורה.

רב DACS כלי עזר מזהים את האפשרויות הסטנדרטיות הבאות, הנקראות
dacsoptions:

-c dacs.conf
זה אומר DACS שבו הוא יכול למצוא קובץ תצורה עבור תחום השיפוט של מי
מטעם זה פועל. אם הטיעון הזה לא קיים, תלוי איך הוא נבנה,
DACS יכול לנסות להשתמש בקובץ שצוין בזמן הידור או שהוא ינסה להשתמש ב-
הערך של משתנה הסביבה DACS_CONF[58]. לפרטים, עיין ב איתור
dacs.conf ו site.conf[59].

-Dשם=ערך
ההשפעה של דגל זה היא להגדיר משתנה שם (שחייב להיות תקף מבחינה תחבירית)
ב DACS מרחב שמות כדי לקבל את הערך ערך. כל ציטוטים בסביבה ערך נשמרים,
בתנאי שהקליפה עוד לא הסירה אותם. דגל זה עשוי לחזור על עצמו. אלה
ניתן לבדוק משתנים לאחר מכן במהלך עיבוד התצורה והכלל
מעבד; לדוגמה, הערך של הוראת תצורה עשוי להיות תלוי ב-
ערך a dacsoptions דֶגֶל. הגדרת א שם שבמקרה מתאים לא
dacsoptions לדגל אין השפעה מלבד יצירת המשתנה.

תעשיות dacsoptions דגלים (לְמַעֵט זֶה אחד) מתווספים אוטומטית ל- DACS
מרחב השמות כפי שהם מעובדים. דגל שהוא "סינגלטון" (למשל, -q) הוא בתחילה
הוקצה ערך של אחד והוא מוגדל בכל הופעה שלאחר מכן. דגל של
הצורה -דֶגֶל ערך שווה -D-דֶגֶל=ערך. דגלים שאינם בשימוש אינם מוגדרים; אם -q
לא ניתן, ${DACS::-q} לא יוגדר. עבור אותם דגלים שיש להם מילים נרדפות, א
נוצר משתנה עבור כל מילה נרדפת. אם ה שם נעשה שימוש, במפורש או במשתמע,
ערכים מאוחרים יותר מחליפים את הערכים הקודמים.

לדוגמא, אם dacsoptions הם:

-c www.example.com -v --verbose -Dfoo="baz" -ll debug -D-ll=trace

אז משתנים יוגדרו באופן הבא:

${DACS::-c} הוא "www.example.com"
${DACS::-v} הוא "2"
${DACS::--verbose} הוא "2"
${DACS::foo} הוא "\"baz\""
${DACS::-ll} הוא "מעקב"

רמת ניפוי הבאגים תהיה באגים ולא מעקב.

--dumpenv
הדפס את כל משתני הסביבה ל-stdout ולאחר מכן צא מיד.

--enable-dump
כברירת מחדל, DACS שירותי אינטרנט ורוב הפקודות משביתים את יצירת הליבה dump בתור א
אמצעי זהירות אבטחה. מכיוון ש-core dump יכול להיות שימושי בעת איתור באגים, הדגל הזה
מאפשר ליצור אותו. כמו תוכניות שמורשות לייצר מזבלה ליבה חייבות
שינוי ל- DACS_HOME ספרייה, ייכתבו שם dump cores. השתמש בדגל הזה
עם דאגה.

-פוּרמָט fmt
פורמט הפלט מוגדר ל fmt, שהיא אחת ממילות המפתח הבאות (case
לא רגיש): קובץ, html, json, php, plain, text, xml, xmldtd, xmlsimple, או
xmlschema. לא כל פורמטי הפלט נתמכים על ידי כל התוכניות. הדגל הזה עוקף
כל פורמט[60] ארגומנט לשירות אינטרנט, אשר בתורו עוקף את ברירת המחדל של תוכנית
פוּרמָט. פורמט ברירת המחדל תלוי בתוכנית הספציפית ובדרך שבה היא מופעלת.
למידע נוסף, עיין ב תיאור of מה היא פורמט טיעון[60].

-ll ברמת רישום
רמת הרישום מוגדרת ל ברמת יומן, שהיא אחת ממילות המפתח המוכרות על ידי ה-
LOG_FILTER[61] הנחיה.

--רישיון
הדפס את הרישיון עבור DACS ל-stdout ואז צא מיד.

-q
תהיה בשקט. זה שווה ערך להגדרת רמת הרישום כדי להתריע.

-sc site.conf
זה אומר DACS שהיא יכולה למצוא קובץ תצורה לתחום השיפוט של מי
מטעם זה פועל. אם הטיעון הזה לא קיים, תלוי איך הוא נבנה,
DACS יכול לנסות להשתמש בקובץ שצוין בזמן הידור או שהוא ינסה להשתמש ב-
הערך של משתנה הסביבה DACS_CONF[58]. לפרטים, עיין ב איתור
dacs.conf ו site.conf[59].

--std
זה מסמן את סוף הטיעונים הנפוצים. הארגומנט הבא של שורת הפקודה, אם בכלל, הוא
ספציפית לתוכנית.

-t
פלט מידע מעקב. זה שווה ערך להגדרת רמת הרישום למעקב.
(ראו גם debug_dacs[62].)

-u config-uri
זה מורה DACS כדי להשתמש config-uri כדי לבחור את תחום השיפוט לשימוש ב-
קובץ תצורה. לפרטים, עיין ב השמיים תחום שיפוט סעיף[63].

-uj שם שיפוט
זה מורה DACS להשתמש בשם תחום השיפוט שם שיפוט כדי לבחור את
סעיף שיפוט לשימוש בקובץ התצורה. לפרטים, עיין ב השמיים
תחום שיפוט סעיף[63].

-un
זה מורה DACS לא לעבד site.conf או dacs.conf. ניתן להשתמש בזה רק עם
מספר קטן של פקודות, כגון dacsacl(1)[64] ו- sslclient(1)[4].

למעלה שם שיפוט
לא מיושם. זה מורה DACS להשתמש בשם תחום השיפוט שם שיפוט ל
בחר את תחום השיפוט לשימוש בקובץ התצורה ואומר לו שה-
שרת האינטרנט פועל כפרוקסי קדימה; זה, שם שיפוט לא
בהכרח "הבעלים" של כתובת האתר המבוקשת. לפרטים, עיין ב השמיים תחום שיפוט
סעיף[63].

-נו
זה מורה DACS כדי להשתמש בסעיף שיפוט אחד ויחיד המופיע ב-
קובץ תצורה. כלומר, קובץ התצורה חייב להכיל אחד בדיוק
סעיף סמכות השיפוט וזה זה שצריך להשתמש בו. לפרטים, עיין ב
השמיים תחום שיפוט סעיף[63].

-v
--מִלוּלִי
היו יותר מילוליים, ביחס לרמת הרישום הנוכחית. דגל זה עשוי לחזור על עצמו.

--גִרְסָה
הדפס מידע גרסה ל-stderr מיד ואז צא. אם -v הופיע קודם לכן
בשורת הפקודה, הדפס גם מידע על גרסה עבור כל אחד מהם DACS קובץ קוד המקור ב
תוכנית זו.

הערות
מידע גרסה מלא זמין רק עבור תוכניות מקושרות סטטית.
ראה גם dacsversion(1)[65] ו- dacs_version(8)[66].

עצה
אם לא ניתן דגל שורת פקודה כדי לציין את תחום השיפוט, הערך של ה-
משתנה הסביבה DEFAULT_JURISDICTION ישמש כאילו ניתן עם -uj דגל.
זה יכול להיות שימושי במיוחד כאשר למארח מוגדר רק תחום שיפוט אחד
כי זה מיותר לציין תמיד את תחום השיפוט עבורו DACS פקודות.

הסביבה

SERVER_NAME, SERVER_PORT, REQUEST_URI
עשוי לשמש לקביעת סמכות השיפוט החלה.

השתמש ב-dacs מקוון באמצעות שירותי onworks.net