ນີ້ແມ່ນຄໍາສັ່ງ dacs ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
dacs - ລະບົບການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຈກຢາຍ
ສະຫຼຸບສັງລວມ
dacs [-v | -- verbose] [--dumpenv] [-- ໃບອະນຸຍາດ] [- ການປ່ຽນແປງ]
dacs dacs-ຄໍາສັ່ງ [dacsoptions[1]] [... ]
dacs-ຄໍາສັ່ງ [-u uri-prefix | -uj jurisdiction-name | -ກ | -ຂຶ້ນ jurisdiction-name | -ພວກເຮົາ]
[-c dacs.conf]
[-sc site.conf] [-ll ລະດັບການບັນທຶກ] [- ຮູບແບບ fmt] [-q] [-t] [-Dຊື່=ມູນຄ່າ]
[-v | -- verbose] [--dumpenv] [--enable-dump] [-- ໃບອະນຸຍາດ] [--std] [- ການປ່ຽນແປງ]
ລາຍລະອຽດ
ໂຄງການນີ້ແມ່ນສ່ວນຫນຶ່ງຂອງ DACs ກ່ຽວກັບ.
DACs ແມ່ນຈຸດປະສົງທົ່ວໄປ, ການກວດສອບຄວາມຖືກຕ້ອງຜ່ານເວັບ ແລະລະບົບການຄວບຄຸມການເຂົ້າເຖິງ. ມັນສະຫນອງ
ຟັງຊັນການເຂົ້າສູ່ລະບົບດຽວ ແລະການຄວບຄຸມການເຂົ້າເຖິງທີ່ປ່ຽນແປງໄດ້ຕໍ່ກັບເນື້ອຫາ ແລະການບໍລິການທີ່ສະໜອງໃຫ້
ໂດຍເຄື່ອງແມ່ຂ່າຍເວັບ. DACs ປະກອບດ້ວຍ Apache ໂມດູນ (mod_auth_dacs[2]) ຜ່ານນັ້ນ Apache
ຕິດຕໍ່ສື່ສານກັບ DACs ເພື່ອເຮັດໃຫ້ການຕັດສິນໃຈຄວບຄຸມການເຂົ້າເຖິງ, ຊຸດຂອງໂຄງການ CGI ທີ່
ໃຫ້ DACs ການບໍລິການເວັບໄຊຕ໌, ແລະການເກັບກໍາຄໍາສັ່ງຜົນປະໂຫຍດທີ່ສະຫນອງຕ່າງໆ
ສະຫນັບສະຫນູນແລະຫນ້າທີ່ບໍລິຫານສໍາລັບ DACs. ບາງສິ່ງອໍານວຍຄວາມສະດວກເຫຼົ່ານີ້, ເຊັ່ນ:
dacshttp(1)[3] ແລະ sslclient(1)[4], ມີຈຸດປະສົງທົ່ວໄປຫມົດ.
ໄດ້ DACs ເຄື່ອງຈັກຄວບຄຸມການເຂົ້າເຖິງແລະອົງປະກອບການພິສູດຢືນຢັນຍັງສາມາດຖືກນໍາໃຊ້ຈາກ
ເສັ້ນຄໍາສັ່ງ, ພາຍໃນສະພາບແວດລ້ອມ CGI ຫຼືເປັນເອກະລາດຢ່າງສົມບູນຂອງເວັບ.
ສໍາລັບຂໍ້ມູນທີ່ສໍາຄັນກ່ຽວກັບ DACs, ລວມທັງຄໍາແນະນໍາການຕິດຕັ້ງ, ກະລຸນາເບິ່ງ
dacs.readme(7)[5] ແລະ dacs.ຕິດຕັ້ງ(7)[6]
ກ່ຽວກັບ DACs
NO ການຮັບປະກັນ
ຊອບແວນີ້ແມ່ນສະຫນອງໃຫ້ໂດຍ Dss "ຕາມທີ່ເປັນ" ແລະການຮັບປະກັນທີ່ສະແດງອອກຫຼືໂດຍທາງອ້ອມ,
ລວມທັງ, ແຕ່ບໍ່ຈໍາກັດ, ການຮັບປະກັນໂດຍຫຍໍ້ຂອງຄວາມສາມາດໃນການຄ້າ, ການສອດຄ່ອງສໍາລັບ
ຈຸດປະສົງສະເພາະ, ຫຼືບໍ່ແມ່ນການລະເມີດ, ຖືກປະຕິເສດ. ໃນກໍລະນີທີ່ບໍ່ມີ Dss ຈະເປັນ
ຮັບຜິດຊອບສໍາລັບການໂດຍກົງ, ທາງອ້ອມ, ບັງເອີນ, ພິເສດ, ຕົວຢ່າງ, ຫຼືຜົນສະທ້ອນ
ຄວາມເສຍຫາຍ (ລວມທັງ, ແຕ່ບໍ່ຈໍາກັດ, ການຈັດຊື້ສິນຄ້າ ຫຼືການບໍລິການທົດແທນ;
ການສູນເສຍການນໍາໃຊ້, ຂໍ້ມູນ, ຫຼືຜົນກໍາໄລ; ຫຼືການຂັດຂວາງທຸລະກິດ) ຢ່າງໃດກໍຕາມ, ສາເຫດແລະໃດໆ
ທິດສະດີຂອງຄວາມຮັບຜິດຊອບ, ບໍ່ວ່າຈະຢູ່ໃນສັນຍາ, ຄວາມຮັບຜິດຊອບທີ່ເຄັ່ງຄັດ, ຫຼືການທໍລະຍົດ (ລວມທັງ
negligence ຫຼືຖ້າບໍ່ດັ່ງນັ້ນ) ເກີດຂຶ້ນໃນທາງໃດກໍ່ຕາມອອກຈາກການນໍາໃຊ້ຊອບແວນີ້, ເຖິງແມ່ນວ່າ
ໃຫ້ຄໍາແນະນໍາກ່ຽວກັບຄວາມເປັນໄປໄດ້ຂອງຄວາມເສຍຫາຍດັ່ງກ່າວ.
ໂດຍສົນທິສັນຍາ, ຊື່ຂອງທັງຫມົດ DACs ການບໍລິການເວັບໄຊຕ໌ເລີ່ມຕົ້ນດ້ວຍຄໍານໍາຫນ້າ "dacs_" (ເຊັ່ນ:
dacs_conf). ເລີ່ມຕົ້ນດ້ວຍການປ່ອຍ 1.4.17, ຄໍາສັ່ງທັງຫມົດທີ່ປະຕິບັດ DACs functionality
ເລີ່ມຕົ້ນດ້ວຍຄຳນຳໜ້າ "dacs" (ຕົວຢ່າງ: dacsconf). ຫຼາຍ DACs ການບໍລິການເວັບໄຊຕ໌ມີຄໍາສັ່ງ
ການປຽບທຽບ. ຊື່ຂອງການບໍລິການເວັບໄຊຕ໌ທີ່ຖືກນໍາໃຊ້ພາຍໃນໂດຍ DACs (ເຊັ່ນ, ພວກເຂົາແມ່ນ
ບໍ່ເຄີຍໂທຫາໂດຍກົງໂດຍຜູ້ໃຊ້) ເລີ່ມຕົ້ນດ້ວຍ "local_" (ຕົວຢ່າງ: local_passwd_authenticate).
ການບໍລິການແລະຄໍາສັ່ງເວັບທີ່ມີຈຸດປະສົງທົ່ວໄປບໍ່ໄດ້ປະຕິບັດຕາມສົນທິສັນຍາການຕັ້ງຊື່, ນອກເຫນືອຈາກ
ບໍ່ໄດ້ໃຊ້ຄໍານໍາຫນ້າໃດໆທີ່ໄດ້ກ່າວມາກ່ອນຫນ້ານີ້.
ຄໍານິຍາມປະເພດເອກະສານ (DTDs) ທີ່ຖືກຮັກສາໄວ້ໃນໄດເລກະທໍລີ dtd-xsd ຖືກໃຊ້.
ເພື່ອເອກະສານຮູບແບບໄຟລ໌ຫຼືອະທິບາຍການໂຕ້ຖຽງກັບ a DACs ການບໍລິການເວັບຫຼືການຕອບຂອງມັນ. ໃນ
ການປະຕິບັດໃນປະຈຸບັນ, ໄຟລ໌ DTD ເຫຼົ່ານີ້ບໍ່ໄດ້ຖືກນໍາໃຊ້ໃນລະຫວ່າງການກວດສອບ XML. ຄຸນສົມບັດ
ປະເພດຂອງ CDATA ອາດຈະມີຂໍ້ຈໍາກັດເພີ່ມເຕີມກ່ຽວກັບຄຸນຄ່າຂອງມັນ; ປຶກສາຫາລືທີ່ກ່ຽວຂ້ອງ
ເອກະສານ. ໄຟລ໌ແມ່ນບໍ່ຖືກຕ້ອງທາງດ້ານເຕັກນິກ DTDs, ເພາະວ່າພວກເຂົາຂາດປະເພດເອກະສານ
ປະກາດ (DOCTYPE); DOCTYPE ທີ່ເຫມາະສົມແມ່ນຖືກສ້າງຂຶ້ນດ້ວຍໂປຣແກຣມໃນເວລາ a
DTD ຖືກປ່ອຍອອກມາ.
ທີ່ສໍາຄັນ
DACs ບໍ່ໄດ້ປ້ອງກັນບາງປະເພດຂອງການໂຈມຕີຕໍ່ເວັບໄຊທ໌, ເຊັ່ນ: Denial of
ການບໍລິການ ການໂຈມຕີ[7], ຂ້າມເວັບໄຊ scripting (XSS)[8] ຫລື ຂ້າມເວັບໄຊ ຮ້ອງຂໍ ການປອມແປງ
(CSRF)[9]. ເມື່ອລວມກັບມາດຕະການປ້ອງກັນເວັບໄຊທ໌ທີ່ເຫມາະສົມ, ແນວໃດກໍ່ຕາມ, DACs
ສະຫນອງກົນໄກເພື່ອເຮັດໃຫ້ການໂຈມຕີປະເພດເຫຼົ່ານີ້ມີຄວາມຫຍຸ້ງຍາກຫຼາຍ.
ກ່ຽວກັບ ໄດ້ ຄູ່ມື ຫນ້າ
ເອກະສານດ້ານວິຊາການສໍາລັບການ DACs ປະກອບດ້ວຍຊຸດຂອງຫນ້າຄູ່ມື. ໃນ HTML
ການເກັບກໍາ, ເປັນ ດັດຊະນີ Page[10] ປະກອບມີຕາຕະລາງຂອງເນື້ອໃນ, ການເຊື່ອມຕໍ່ກັບຄໍາອະທິບາຍພິເສດ
ພາຍໃນເອກະສານທາງດ້ານວິຊາການ, ແລະລາຍການຂອງຕົວແປ, ຄໍາແນະນໍາການຕັ້ງຄ່າ, ແລະ
ຄໍານິຍາມປະເພດເອກະສານ XML.
ເຄັດລັບ
ແຕ່ລະຫນ້າຄູ່ມື HTML ມີເຄື່ອງມືການຄັດເລືອກຂະຫນາດຕົວອັກສອນຢູ່ໃກ້ກັບລຸ່ມສຸດຂອງມັນ. ຖ້າ
JavaScript ຖືກເປີດໃຊ້, ຂະຫນາດຕົວອັກສອນທີ່ເລືອກໃນປັດຈຸບັນສາມາດປ່ຽນແປງໄດ້ແລະເປັນທົ່ວໂລກ
ຕັ້ງຄວາມມັກ. ເພື່ອເລືອກຂະຫນາດຕົວອັກສອນສໍາລັບຫນ້າປະຈຸບັນ, ໃຫ້ຄລິກໃສ່ຫນຶ່ງໃນສີ່
ກ່ອງ. ເພື່ອເຮັດໃຫ້ການເລືອກໃນປັດຈຸບັນຕາມທີ່ໃຈມັກຂອງທ່ານໃນທົ່ວຫນ້າຄູ່ມື, ການໄປຢ້ຽມຢາມເວັບໄຊທ໌,
ແລະກອງປະຊຸມຂອງຕົວທ່ອງເວັບ, ໃຫ້ຄລິກໃສ່ປຸ່ມ "ຕັ້ງ", ເຊິ່ງຈະກໍານົດ cookie HTTP. ຖ້າ ກ
preference ຍັງບໍ່ທັນໄດ້ຮັບການຕັ້ງຄ່າໃນວິທີການນີ້ (ເຊັ່ນ, ບໍ່ມີຄຸກກີ) ແລະຫນ້າຄູ່ມື
ແມ່ນໄດ້ໄປຢ້ຽມຢາມດ້ວຍຕົວກໍານົດການສອບຖາມ DACSMANFONT ຕັ້ງເປັນ 0, 1, 2, ຫຼື 3 (ສະແດງເຖິງ
ຂະຫນາດນ້ອຍສຸດເຖິງຂະຫນາດໃຫຍ່ທີ່ສຸດ), ຕົວອັກສອນທີ່ສອດຄ້ອງກັນຈະໄດ້ຮັບການຄັດເລືອກແລະ
ການຕັ້ງຄ່າອັດຕະໂນມັດຖືກຕັ້ງ (ຖ້າການຕັ້ງຄ່າຖືກຕັ້ງ, ພາລາມິເຕີຖືກລະເລີຍ).
ຂົງເຂດເອກະສານທີ່ມີປ້າຍຊື່ "ຄວາມປອດໄພ" ປຶກສາຫາລືກ່ຽວກັບຄວາມປອດໄພທີ່ສໍາຄັນ;
ກະລຸນາເອົາໃຈໃສ່ເປັນພິເສດຕໍ່ພວກເຂົາ. ພື້ນທີ່ທີ່ມີປ້າຍ "ຄໍາແນະນໍາ" ສະຫນອງຕົວຊີ້ເພື່ອປະຫຍັດເວລາ
ເຕັກນິກ (ແລະບາງຄັ້ງການຫຼຸດຜ່ອນຄວາມຮ້າຍແຮງ) ແລະການປະຕິບັດທີ່ແນະນໍາ.
ໃນຊື່ເສັ້ນທາງແລະ URL ທີ່ປາກົດຢູ່ໃນຕົວຢ່າງ, ຂໍ້ຄວາມ "..." ເປັນຕົວແທນຂອງຂໍ້ຄວາມທີ່ມີ
ຖືກລະເວັ້ນເພາະວ່າມັນບໍ່ກ່ຽວຂ້ອງກັບການສົນທະນາຢູ່ໃນມື, ຫຼືອາດຈະແຕກຕ່າງກັນ
ຂຶ້ນກັບລາຍລະອຽດການຕັ້ງຄ່າ ເຊັ່ນ: ບ່ອນທີ່ມີການຕິດຕັ້ງບາງຢ່າງ (ເຊັ່ນ:
.../dacs/bin/dacshttp).
ເວັ້ນເສຍແຕ່ໄດ້ລະບຸໄວ້ເປັນຢ່າງອື່ນ, URL ທີ່ໃຊ້ໃນຕົວຢ່າງແມ່ນສົມມຸດຕິຖານ ແລະສ່ວນຫຼາຍອາດຈະບໍ່
ເຮັດວຽກ. ຊື່ໂດເມນທີ່ສະຫງວນໄວ້ example.com ມັກຈະຖືກນໍາໃຊ້ (RFC 2606[11]).
ໃນຄໍາແນະນໍາແລະຕົວຢ່າງ, ໂດຍທົ່ວໄປແລ້ວ '%' ຖືກນໍາໃຊ້ເພື່ອສະແດງຄໍາສັ່ງຂອງແຖວຄໍາສັ່ງ:
% ວັນທີ
Sun Apr 1 15:33:11 PDT 2007
ບາງຄັ້ງຕົວອັກສອນອື່ນຖືກໃຊ້ເພື່ອຊີ້ໃຫ້ເຫັນເຖິງການເຕືອນ, ແນວໃດກໍ່ຕາມ, ເຊັ່ນວ່າເວລາໃດ
ສະແດງໃຫ້ເຫັນຮູບແບບການໂຕ້ຕອບຂອງ dacsexpr(1)[ສອງ]:
> 1 + 1
2
ຮູບແບບຂະຫຍາຍຂອງ BNF ຄະແນນ[13] ຖືກນໍາໃຊ້ເພື່ອອະທິບາຍ syntax ຫຍໍ້. ພວກເຮົາຫວັງວ່າມັນແມ່ນ
ທັງເຂົ້າໃຈໄດ້ ແລະຄຸ້ນເຄີຍ, ແຕ່ຄວາມບໍ່ສອດຄ່ອງ ແລະຄວາມບໍ່ແນ່ນອນບາງຢ່າງອາດເກີດຂຶ້ນໄດ້
ຕະຫຼອດເອກະສານ; ອັນນີ້ກຳລັງຖືກປັບປຸງຢ່າງຊ້າໆ. ໄລຍະການຜະລິດອາດຈະ
ປະກອບມີການກໍານົດປະເພດການສະແດງອອກປົກກະຕິ, ດ້ວຍ '+' ຊຶ່ງຫມາຍຄວາມວ່າຫນຶ່ງຫຼືຫຼາຍປະກົດການ
ຂອງຄຳສັບ, ແລະ '*' ການປະກົດຕົວເປັນສູນ ຫຼືຫຼາຍກວ່ານັ້ນ. ອັນໃດນຶ່ງໃນຊຸດຂອງຕົວລະຄອນໃດໜຶ່ງແມ່ນໄດ້ລະບຸໄວ້
ພາຍໃນວົງເລັບສີ່ຫຼ່ຽມ, ແລະລະດັບຂອງຕົວອັກສອນຕິດຕໍ່ກັນ (ໃນລໍາດັບລະຫັດ ASCII) ແມ່ນ
ແຍກອອກດ້ວຍຍົດ (ຕົວຢ່າງ, [A-Za-z0-9\-_]+ ຫມາຍຄວາມວ່າ "ຫນຶ່ງຫຼືຫຼາຍຕົວອັກສອນ,
ຕົວເລກ, ຂີດໝາຍ ຫຼືຂີດກ້ອງ"). ໃນສະພາບການອື່ນ, ວົງເລັບສີ່ຫຼ່ຽມຊີ້ບອກທາງເລືອກ.
ໄລຍະ. ວົງຢືມດ່ຽວ ແລະຄູ່ລະບຸຕົວໜັງສື. ໃຫ້ສັງເກດວ່າ XML DTDs ໃຊ້ພວກມັນ
syntax ຂອງຕົນເອງ, ເຊິ່ງແມ່ນແຕກຕ່າງກັນ, ແລະໃນບາງກໍລະນີ, ໄວຍະກອນປະຕິບັດຕາມທີ່ກ່ຽວຂ້ອງ
RFCs ແມ່ນເຄົາລົບຄວາມຊັດເຈນຫຼືໃນຕົວຢ່າງ.
ທີ່ສໍາຄັນ ແນວຄິດ
ບາງແນວຄວາມຄິດຫຼັກທີ່ໃຊ້ໃນທົ່ວ DACs ເອກະສານແມ່ນຖືກກໍານົດໄວ້ໃນນີ້
ສ່ວນ.
ບັນຊີ
ບັນທຶກຄົງທີ່ທີ່ເຊື່ອມໂຍງຕົວຕົນ (ຫຼືຊື່ຜູ້ໃຊ້) ກັບຂໍ້ມູນຂອງລັດ
ກ່ຽວກັບບັນຊີ (ເຊັ່ນວ່າບັນຊີຖືກເປີດໃຊ້ງານຫຼືປິດການໃຊ້ງານ), ຂໍ້ມູນ
ທີ່ຕ້ອງການເພື່ອກວດສອບຕົວຕົນ (ເຊັ່ນ: ການຍ່ອຍສະແດງຂອງລະຫັດຜ່ານ),
ແລະອາດຈະເປັນຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບການເຂົ້າສູ່ລະບົບອື່ນໆ. ໃຫ້ສັງເກດວ່າ DACs ຕົວຕົນບໍ່
ຈໍາເປັນຕ້ອງມີບັນຊີທີ່ສອດຄ້ອງກັນ. DACs ບໍ່ໄດ້ສະຫນອງກົນໄກການ
ບໍລິຫານປະເພດບັນຊີ "ຕ່າງປະເທດ"; ຕົວຢ່າງ, ເຖິງແມ່ນວ່າມັນສາມາດພິສູດຢືນຢັນໄດ້
ພວກມັນ, ມັນບໍ່ສາມາດສ້າງຫຼືລາຍຊື່ບັນຊີ Unix ຫຼື Windows.
ການກວດສອບ
ຂັ້ນຕອນທີ່ບຸກຄົນ ຫຼືໂຄງການໄດ້ຮັບໃບຢັ້ງຢືນທີ່ເປັນຕົວແທນຂອງ ກ DACs
ຕົວຕົນ, ໂດຍປົກກະຕິໂດຍການຢືນຢັນ a DACs ຊື່ຜູ້ໃຊ້ທີ່ເປັນຕົວແທນຂອງຕົວຕົນແລະ
ສະໜອງຂໍ້ມູນທີ່ມີພຽງຕົວຕົນເທົ່ານັ້ນທີ່ຈະຮູ້ ຫຼືມີຢູ່. ຫຼັງຈາກ
ການພິສູດຢືນຢັນສົບຜົນສໍາເລັດ, ບຸກຄົນຫຼືໂຄງການແມ່ນເວົ້າວ່າມີການພິສູດຢືນຢັນ. DACs
ສາມາດໂຕ້ຕອບກັບແນວພັນທີ່ກ້ວາງຂອງວິທີການກວດສອບແລະສະຫນອງບາງສ່ວນຂອງຕົນ
ຂອງຕົນເອງ; ວິທີການໃຫມ່ສາມາດເພີ່ມໄດ້ຢ່າງງ່າຍດາຍ.
ການອະນຸຍາດ
ຂັ້ນຕອນທີ່ກໍານົດ, ໃນສະພາບການສະເພາະໃດຫນຶ່ງ, ບໍ່ວ່າຈະເປັນການຮ້ອງຂໍສໍາລັບການໃຫ້
ຊັບພະຍາກອນ ຫຼືວັດຖຸຄວນໄດ້ຮັບການອະນຸຍາດ. ຖ້າຕົວຕົນໄດ້ຮັບອະນຸຍາດໃຫ້ປະຕິບັດ a
ການດໍາເນີນການສະເພາະໃດຫນຶ່ງກ່ຽວກັບວັດຖຸ, ການເຂົ້າເຖິງແມ່ນອະນຸຍາດ, ຖ້າບໍ່ດັ່ງນັ້ນມັນຖືກປະຕິເສດ. ການເຂົ້າເຖິງ
ກົດລະບຽບການຄວບຄຸມແມ່ນວິທີການຫນຶ່ງທີ່ຈະອະທິບາຍວ່າຕົວຕົນຫຼືຕົວຕົນຄວນຈະເປັນ
ໄດ້ຮັບ - ຫຼືປະຕິເສດ - ເຂົ້າເຖິງຊັບພະຍາກອນສະເພາະ. ການຄວບຄຸມການເຂົ້າເຖິງແບບຫຍາບໆ
ກ່ຽວຂ້ອງກັບການຕັດສິນໃຈໃນລະດັບສູງວ່າການເຂົ້າເຖິງວັດຖຸຄວນຈະເປັນຫຼືບໍ່
ອະນຸຍາດ; ນີ້ມັກຈະເປັນການຕັດສິນໃຈທັງໝົດຫຼືບໍ່ມີຫຍັງ. ການຄວບຄຸມການເຂົ້າເຖິງທີ່ລະອຽດອ່ອນແມ່ນ
ໃຊ້ພາຍໃນໂຄງການເພື່ອຕັດສິນໃຈວ່າການເຂົ້າເຖິງຊັບພະຍາກອນລະດັບຕ່ໍາ (ບາງຂໍ້ມູນ,
ຫນ້າທີ່ບໍລິຫານ, ເມນູ) ຄວນໄດ້ຮັບ.
ໃຫ້ສັງເກດວ່າບໍ່ຄືກັບບາງລະບົບ, DACs ບໍ່ໄດ້ກຳນົດລ່ວງໜ້າວ່າຊັບພະຍາກອນອັນໃດສະເພາະ
ຜູ້ໃຊ້ (ຕົວຕົນ) ສາມາດແລະບໍ່ສາມາດເຂົ້າເຖິງໄດ້; ນັ້ນແມ່ນ, ຜູ້ບໍລິຫານບໍ່ໄດ້ເຮັດບັນຊີລາຍຊື່
ສິດທິຂອງຜູ້ໃຊ້ແຕ່ລະຄົນມີຫຍັງແດ່. ການອະນຸຍາດແມ່ນຖືກກໍານົດໂດຍການປະເມີນກົດລະບຽບ,
ໃນເວລາຈິງ, ເມື່ອຜູ້ໃຊ້ຮ້ອງຂໍຊັບພະຍາກອນ. ການຍົກເວັ້ນພຽງແຕ່ນີ້ແມ່ນບາງຢ່າງ
ຄຸນນະສົມບັດທາງເລືອກ: ການອະນຸຍາດ Caching[14] ແລະ Rlinks[15]
ສິດທິພິເສດ
If ການກວດສອບ ປະສົບຜົນສໍາເລັດ, DACs ສົ່ງຄືນຂໍ້ມູນທີ່ສາມາດໃຊ້ໃນ
ການປະຕິບັດຕໍ່ໆມາເພື່ອສະແດງຕົວຕົນທີ່ຖືກຢືນຢັນ. ຂໍ້ມູນປະຈໍາຕົວປະກອບດ້ວຍ
ຂໍ້ມູນກ່ຽວກັບຕົວຕົນ, ເຊັ່ນຊື່ຂອງມັນ, ແລະຂໍ້ມູນ meta, ເຊັ່ນ:
ເວລາທີ່ຂໍ້ມູນປະຈຳຕົວໝົດອາຍຸ ແລະກາຍເປັນບໍ່ຖືກຕ້ອງ. ຂໍ້ມູນປະຈຳຕົວຖືກປົກປ້ອງ
cryptographically ດັ່ງນັ້ນເຂົາເຈົ້າມີຄວາມຫຍຸ້ງຍາກທີ່ຈະ forged ຫຼືປ່ຽນແປງ. ພວກເຂົາຕ້ອງໄດ້ຮັບການເກັບຮັກສາໄວ້
ຄວາມລັບ, ດັ່ງນັ້ນຕົວຕົນບໍ່ສາມາດຖືກນໍາໃຊ້ໂດຍຜູ້ອື່ນນອກເຫນືອຈາກເຈົ້າຂອງຂອງມັນ, ແລະຕ້ອງ
ມາພ້ອມກັບການຮ້ອງຂໍທີ່ເຮັດກັບເຄື່ອງແມ່ຂ່າຍດັ່ງນັ້ນ DACs ຮູ້ວ່າໃຜເປັນຜູ້ຮ້ອງຂໍ. ໄດ້
ກົນໄກສະເພາະທີ່ໃຊ້ສໍາລັບການນີ້ບໍ່ສໍາຄັນທີ່ໃຫ້ຂໍ້ມູນປະຈໍາຕົວບໍ່ສາມາດເປັນ
ຄັດລອກແລະນໍາໃຊ້ຄືນ; ການຂົນສົ່ງຂໍ້ມູນປະຈໍາຕົວໂດຍໃຊ້ payload ຂອງ cookie HTTP ຫຼາຍກວ່າ
ການເຊື່ອມຕໍ່ SSL ແມ່ນປົກກະຕິ, ເຖິງແມ່ນວ່າການສົ່ງຂໍ້ມູນປະຈໍາຕົວເປັນມູນຄ່າຂອງ HTTP
ສ່ວນຫົວສ່ວນຂະຫຍາຍແມ່ນເປັນໄປໄດ້ອີກອັນໜຶ່ງ.
ເຖິງແມ່ນວ່າບໍ່ມີຂໍ້ຈໍາກັດສະເພາະກ່ຽວກັບຂະຫນາດຂອງຂໍ້ມູນປະຈໍາຕົວເທົ່າທີ່ DACs is
ເປັນຫ່ວງ, ນັບຕັ້ງແຕ່ພວກເຂົາສາມາດຖືກຫຸ້ມຫໍ່ພາຍໃນຄຸກກີ HTTP ແລະກັບຄືນໄປຫາ a
ຕົວທ່ອງເວັບ, ຂໍ້ຈໍາກັດກ່ຽວກັບ cookies ທີ່ຖືກບັງຄັບໂດຍຕົວທ່ອງເວັບຄວນໄດ້ຮັບການພິຈາລະນາຢ່າງລະມັດລະວັງ.
ອຳນາດການປົກຄອງໃດນຶ່ງສາມາດເຂົ້າໃຈການຢັ້ງຢືນທີ່ຜະລິດໂດຍອຳນາດສານອື່ນໆພາຍໃນ
ສະຫະພັນດຽວກັນ. ດັ່ງນັ້ນ, ຜູ້ໃຊ້ພຽງແຕ່ຕ້ອງໄດ້ຮັບການພິສູດຢືນຢັນຄັ້ງດຽວເພື່ອເຂົ້າເຖິງ
ການບໍລິການເວັບໄຊຕ໌ຢູ່ໃນສິດອໍານາດໃດຫນຶ່ງໂດຍການນໍາໃຊ້ຕົວຕົນ.
ໃຫ້ສັງເກດວ່າໃນ DACs, ຂໍ້ມູນປະຈໍາບໍ່ໃຫ້ເຈົ້າຂອງຂອງເຂົາເຈົ້າມີສິດຫຼືຖ່າຍທອດໃດໆ
ການອະນຸຍາດ; DACs ບໍ່ແມ່ນ ອີງຕາມຄວາມສາມາດ ລະບົບ[16]. ຂໍ້ມູນປະຈໍາຕົວພຽງແຕ່ເປັນຕົວແທນ
a DACs ຕົວຕົນ.
ອ້າງເຖິງ dacs_authenticate(8)[17] ສໍາລັບລາຍລະອຽດ.
ໃນປະຈຸບັນ ຮ້ອງຂໍ
ເຫດການທີ່ເຮັດໃຫ້ເກີດການກວດສອບການອະນຸຍາດຖືກດໍາເນີນການໂດຍ
dacs_acs(8)[18] ຫມາຍເຖິງການຮ້ອງຂໍໃນປະຈຸບັນ. ສໍາລັບການຮ້ອງຂໍສໍາລັບ ກ
DACs-wrapped ຊັບພະຍາກອນເວັບໄຊຕ໌, ນີ້ຈະເປັນການຮ້ອງຂໍ HTTP ທີ່ໄດ້ຮັບໂດຍເວັບໄຊຕ໌
ເຊີບເວີສໍາລັບຊັບພະຍາກອນ. ໃນສະຖານະການທີ່ dacs_acs ບໍ່ມີສ່ວນຮ່ວມ, ເຊັ່ນວ່າເວລາໃດ
dacscheck(1)[19] ຫລື dacsexpr(1)[12] ຖືກນໍາໃຊ້, ການຮ້ອງຂໍໃນປະຈຸບັນແລະສະພາບການຂອງມັນ
ລະບຸໂດຍການໂຕ້ຖຽງແຖວຄໍາສັ່ງຫຼືໄດ້ຮັບຈາກ ການປະຕິບັດ
ສະພາບແວດລ້ອມ[20]
dacs_acs ການນໍາໃຊ້ ${DACS::URI} ເປັນອົງປະກອບເສັ້ນທາງຂອງຄໍາຮ້ອງຂໍໃນປະຈຸບັນ. ມັນແມ່ນ
ໄດ້ມາຈາກ Apache's ປະເພດ ອົງປະກອບຂອງ request_rec. ນີ້ແມ່ນສາຍທີ່
ຖືກນໍາໃຊ້ເພື່ອຈັບຄູ່ກັບກົດລະບຽບການຄວບຄຸມການເຂົ້າເຖິງ.
ອື່ນ ໆ DACs ອົງປະກອບກໍານົດການຮ້ອງຂໍ HTTP ໃນປັດຈຸບັນໂດຍການກວດສອບຫຼາຍໆຢ່າງ
ຕົວແປສະພາບແວດລ້ອມ: HTTP_HOST (ຫຼື SERVER_NAME ແລະ SERVER_PORT), REQUEST_URI,
QUERY_STRING, ແລະ ສະຖານທີ່ HTTP.
ມູນຄ່າຂອງ ${DACS::URI} ແລະອົງປະກອບເສັ້ນທາງຂອງ ${Env::REQUEST_URI} ບໍ່ແມ່ນ
ຈໍາເປັນຄືກັນ. ຫຼັງຈາກການປ່ຽນເສັ້ນທາງພາຍໃນ, ຕົວຢ່າງ, ມູນຄ່າສຸດທ້າຍແມ່ນ
ຈາກ URL ຕົ້ນສະບັບ, ໃນຂະນະທີ່ອະດີດແມ່ນມາຈາກເປົ້າຫມາຍຂອງການປ່ຽນເສັ້ນທາງ.
ສະຕຣິງການຮ້ອງຂໍໃນປະຈຸບັນແມ່ນສໍາຄັນເພາະວ່າມັນອາດຈະຖືກນໍາໃຊ້ເພື່ອກໍານົດ
ໃນປະຈຸບັນ ພັນທະມິດ[21] ແລະ ໃນປະຈຸບັນ jurisdiction[22], ແລະເນື່ອງຈາກວ່າມັນຖືກນໍາໃຊ້ໃນເວລາທີ່
ຊອກຫາກົດລະບຽບການຄວບຄຸມການເຂົ້າເຖິງເພື່ອນໍາໃຊ້ກັບການຮ້ອງຂໍ.
DACs
ປະກອບດ້ວຍການບໍລິການເວັບໄຊຕ໌ CGI, ເປັນ Apache 2.0/2.2 ໂມດູນ, ແລະການເກັບກໍາຂອງ
ສາທາລະນະສຸກ, DACs ສະຫນອງການທໍາງານຂອງການກວດສອບແລະການອະນຸຍາດ. ໂປ່ງໃສ,
ການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ບົດບາດແບບຫຍາບໆແມ່ນມີໃຫ້ສໍາລັບຊັບພະຍາກອນເວັບ.
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ພາລະບົດບາດເປັນໂຄງການ, ຈຸດປະສົງທົ່ວໄປແມ່ນມີສໍາລັບ virtually ໃດ
ໂຄງການ (ການນໍາໃຊ້ dacscheck(1)[19]). ນີ້ແມ່ນ decoupled ຫມົດຈາກ Apache.
DACs ຜູ້ບໍລິຫານ
ບຸກຄົນ (ຫຼືບຸກຄົນ) ຮັບຜິດຊອບໃນການຄຸ້ມຄອງການດໍາເນີນງານຂອງ DACs is
ເອີ້ນວ່າ a DACs ຜູ້ບໍລິຫານ (ບາງຄັ້ງພຽງແຕ່ "ຜູ້ບໍລິຫານ"). ບຸກຄົນນີ້ແມ່ນ
ບໍ່ຈໍາເປັນຕ້ອງເປັນຜູ້ເບິ່ງແຍງລະບົບ (ຕົວຢ່າງ, superuser ຫຼືຮາກ), ເຖິງແມ່ນວ່າຂະຫນາດນ້ອຍ
ຈໍານວນຂອງອົງປະກອບທາງເລືອກຂອງ DACs ຕ້ອງດໍາເນີນການເປັນຜູ້ໃຊ້ຫຼືກຸ່ມຮາກ. ໄດ້ DACs
ຜູ້ບໍລິຫານບໍ່ຈໍາເປັນຕ້ອງເປັນ Apache ຜູ້ບໍລິຫານ; ຄັ້ງດຽວ Apache ໄດ້ຖືກຕັ້ງຄ່າສໍາລັບການ
DACs ໂດຍປົກກະຕິມັນຮຽກຮ້ອງໃຫ້ມີການດັດແກ້ຈໍານວນຫນ້ອຍຫຼາຍຫຼັງຈາກນັ້ນ. ໄດ້ DACs ຜູ້ບໍລິຫານ
ຮັບຜິດຊອບໃນການຕັ້ງຄ່າ ແລະການທົດສອບ DACs (ອາດຈະເປັນການຕິດຕັ້ງແລະຍົກລະດັບມັນ,
ເຊັ່ນດຽວກັນ), ການຄຸ້ມຄອງບັນຊີຜູ້ໃຊ້ແລະລະບຽບການເຂົ້າເຖິງການຄວບຄຸມ, ການປົກປ້ອງຄວາມປອດໄພ, ການສໍາຮອງ
ເຖິງການຕັ້ງຄ່າແລະໄຟລ໌ຂໍ້ມູນ, ແລະອື່ນໆ. ການອອກແບບຂອງ DACs ອະນຸຍາດໃຫ້ຄະນະຜູ້ແທນຈໍານວນຫນຶ່ງ
ຂອງຄວາມຮັບຜິດຊອບ, ສ່ວນໃຫຍ່ແມ່ນອີງໃສ່ການອະນຸຍາດໄຟລ໌. ເມື່ອຖືກເອີ້ນເປັນບໍລິການເວັບ,
ແຕ່ລະຕົວຕົນທີ່ຖືກຕັ້ງຄ່າເປັນ a ADMIN_IDENTITY[23] ແມ່ນປະສິດທິຜົນ a DACs
ຜູ້ບໍລິຫານ; ໃນສະພາບການນີ້, superuser ລະບົບບໍ່ມີຄວາມສໍາຄັນ.
DACs identity
ຜູ້ໃຊ້ທີ່ກວດສອບແຕ່ລະຄົນແມ່ນໄດ້ຮັບການມອບຫມາຍຊື່ທີ່ປະກອບດ້ວຍຊື່ຂອງ
ການຢັ້ງຢືນສິດອຳນາດ, ຊື່ສະຫະພັນຂອງຕົນ, ແລະຊື່ຜູ້ໃຊ້. ແຕ່ລະຊື່ເຫຼົ່ານີ້
ອົງປະກອບຕ້ອງຖືກຕ້ອງ syntactically. ໃນບາງສະພາບການ, ຊື່ສະຫະພັນແມ່ນ
implicit; ບາງຄັ້ງຊື່ສິດອໍານາດຍັງ implicit. ໜ່ວຍງານເຊັ່ນ
ບຸກຄົນ (ປະຊາຊົນ, ແຕ່ຍັງມີໂຄງການ, ອຸປະກອນ, ແລະອື່ນໆ), ສະຫະພັນ, ສິດອໍານາດ,
ແລະກຸ່ມມີຊື່. ມັນເປັນຄວາມຮັບຜິດຊອບຂອງສິດອໍານາດໃນການກວດສອບຄວາມຖືກຕ້ອງ
ຜູ້ໃຊ້. syntax, ຄວາມຫມາຍ, ແລະຄວາມເປັນເອກະລັກຂອງຊື່ຍັງເປັນບັນຫາສິດອໍານາດ,
ແລະບາງທີອາດເປັນບັນຫາທົ່ວສະຫະພັນເຊັ່ນກັນ.
ແຕ່ລະຫນ່ວຍງານຂອງໂລກທີ່ແທ້ຈິງໂດຍປົກກະຕິມີຄວາມເປັນເອກະລັກ DACs ຕົວຕົນ, ແຕ່ນີ້ຖືກປະໄວ້ເຖິງ
ການກວດສອບສິດອຳນາດ. ສອງ ຫຼືຫຼາຍກວ່ານັ້ນແມ່ນມີຄວາມແຕກຕ່າງກັນ ຖ້າພວກເຂົາບໍ່ໄດ້ອ້າງອີງ
ກັບບຸກຄົນໃນໂລກທີ່ແທ້ຈິງດຽວກັນ. Federated Identity ຫຼືການເຊັນດຽວ (SSO) ແມ່ນ
ຄວາມສາມາດໃນການຮັບຮູ້ຕົວຕົນຂອງຜູ້ໃຊ້ໃນທົ່ວເຂດປົກຄອງແລະແມ້ກະທັ້ງທົ່ວສະຫະພັນ.
ທີ່ສໍາຄັນ
ຈົ່ງຈື່ໄວ້ວ່າໂດຍບໍ່ຄໍານຶງເຖິງວິທີການກວດສອບຄວາມຖືກຕ້ອງແລະຂໍ້ມູນບັນຊີ
ຖືກນໍາໃຊ້, ສອງຊື່ຜູ້ໃຊ້ທີ່ຄືກັນ (ກ່ຽວກັບສິດອໍານາດດຽວກັນແລະເຂົ້າໄປໃນ
ບັນຊີ NAME_COMPARE[24]) ແມ່ນ ຢ່າງແທ້ຈິງ ສົມມຸດວ່າ to ອ້າງອີງ to ໄດ້ ດຽວກັນ identity by
DACs. ຕົວຢ່າງ, ຄົນທີ່ພິສູດຢືນຢັນເປັນ auggie ໂດຍການສະຫນອງທີ່ຖືກຕ້ອງ
ລະຫັດຜ່ານ Unix ແມ່ນເກືອບບໍ່ສາມາດແຍກອອກໄດ້ຈາກຜູ້ທີ່ຮັບຮອງເປັນ
auggie ໃຊ້ບັດຂໍ້ມູນຂ່າວສານ. ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ໃຊ້ປະກອບມີຂໍ້ມູນກ່ຽວກັບ
ວິທີການກວດສອບທີ່ກ່ຽວຂ້ອງກັບການສ້າງຂອງເຂົາເຈົ້າແລະ ຜູ້ໃຊ້()[25] ຫນ້າທີ່ສາມາດເຮັດໄດ້
ຖືກນໍາໃຊ້ເພື່ອໃຫ້ໄດ້ຂໍ້ມູນນີ້, ແຕ່ມັນຈະບໍ່ສະຫລາດທີ່ຈະອີງໃສ່ການລະບຸຕົວຕົນ
ນີ້. ມັນໄດ້ຖືກແນະນໍາຢ່າງແຂງແຮງວ່າໃຫມ່ DACs ອຳນາດການປົກຄອງຢ່າງລະມັດລະວັງໃນການພັດທະນາ
ແຜນການຂະຫຍາຍສໍາລັບການຕັ້ງຊື່ຜູ້ໃຊ້.
DACs-ຫໍ່
ແຫຼ່ງເວັບແມ່ນເວົ້າວ່າ DACs-wrapped ຖ້າເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ທີ່ຮັບຜິດຊອບສໍາລັບການ
ໂທຊັບພະຍາກອນ DACs (ໂດຍສະເພາະ, dacs_acs(8)[18]) ເພື່ອເຮັດໃຫ້ການຄວບຄຸມການເຂົ້າເຖິງ
ການຕັດສິນໃຈທຸກຄັ້ງທີ່ມັນໄດ້ຮັບການຮ້ອງຂໍສໍາລັບຊັບພະຍາກອນ.
ພັນທະມິດ
A DACs ສະຫະພັນປະກອບດ້ວຍໜຶ່ງ ຫຼືຫຼາຍເຂດອຳນາດ. ອຳນາດການປົກຄອງປະກອບດ້ວຍ
ສະຫະພັນປະສານງານການແລກປ່ຽນຂໍ້ມູນຂ່າວສານໂດຍຜ່ານການປະຕິບັດທຸລະກິດທີ່ມີນ້ໍາຫນັກເບົາ
ປະຕິບັດຕາມຄວາມຕ້ອງການຂອງສະມາຊິກໃນ a DACs ສະຫະພັນ; ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ໄດ້
ສະມາຊິກຂອງສະຫະພັນໂດຍປົກກະຕິຕົກລົງເຫັນດີທີ່ຈະປະຕິບັດຕາມກົດລະບຽບການປະພຶດບາງຢ່າງ
ຮັກສາຄວາມປອດໄພໂດຍລວມແລະເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດໄດ້ຮັບຜົນປະໂຫຍດສູງສຸດ. ສະຫະພັນ
ການປະກອບດ້ວຍສິດອໍານາດພຽງແຕ່ຫນຶ່ງແມ່ນບໍ່ຜິດປົກກະຕິ.
ລາຍການ ປະເພດ
ປະເພດລາຍການແມ່ນຊື່ທີ່ແຜນທີ່ໄປຫາ a VFS[26] (virtual filestore) ສະເພາະວ່າ
ກຳນົດຄ່າວິທີການ ແລະບ່ອນເກັບຂໍ້ມູນ. ລະດັບຂອງທາງອ້ອມທີ່ພວກເຂົາສະຫນອງ
ຫມາຍຄວາມວ່າກົດລະບຽບການຄວບຄຸມການເຂົ້າເຖິງ, ສໍາລັບການຍົກຕົວຢ່າງ, ສາມາດ configured ເປັນປົກກະຕິ
ໄຟລ໌, ຖານຂໍ້ມູນ Berkeley DB, ຖານຂໍ້ມູນຫ່າງໄກສອກຫຼີກທີ່ເຂົ້າເຖິງໂດຍ HTTP, ແລະອື່ນໆ - ທັງຫມົດ
ທີ່ຕ້ອງການແມ່ນວ່າປະເພດລາຍການ acls ຈະຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ. ບາງປະເພດລາຍການ
(ເຊັ່ນ: acls) ຖືກສະຫງວນແລະມີຄວາມຫມາຍພິເສດຕໍ່ DACs, ໃນຂະນະທີ່ຄົນອື່ນສາມາດຖືກນໍາໃຊ້ໂດຍ
a DACs ຜູ້ບໍລິຫານເພື່ອຈຸດປະສົງອື່ນໆ. ຊື່ປະເພດລາຍການແມ່ນຕົວພິມນ້ອຍໃຫຍ່ ແລະ
ປະກອບດ້ວຍຕົວອັກສອນແລະຕົວອັກສອນຈໍານວນຫນຶ່ງ, hyphens, ແລະ underscores, ແຕ່ຕ້ອງເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ
ລັກສະນະ.
jurisdiction
A DACs ອຳນາດຕັດສິນແມ່ນໜ່ວຍງານບໍລິຫານທີ່ເປັນເອກະລາດທີ່ຢັ້ງຢືນຄວາມຖືກຕ້ອງຂອງມັນ
ຜູ້ໃຊ້, ໃຫ້ບໍລິການເວັບໄຊຕ໌, ຫຼືທັງສອງ. ມັນອາດຈະກົງກັບອົງການຈັດຕັ້ງ,
ພະແນກ, ເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌, ຫຼືເຈົ້າພາບ virtual. ອຳນາດການປົກຄອງບາງຄັ້ງກໍ່ຖືກສ້າງຂື້ນແບບງ່າຍໆ
ຄວາມສະດວກການບໍລິຫານ. ແຕ່ລະເຂດອຳນາດຖືກມອບໝາຍຊື່ສະເພາະພາຍໃນ a
ສະຫະພັນ.
ອຳນາດການປົກຄອງບ້ານຂອງຜູ້ໃຊ້ເປັນເຂດອຳນາດທີ່ສາມາດກວດສອບຜູ້ໃຊ້ນັ້ນໄດ້. ໃນ
ສະຖານະການທີ່ຜູ້ໃຊ້ມີຫຼາຍຂໍ້ມູນປະຈໍາຕົວທີ່ໄດ້ຮັບຈາກທີ່ແຕກຕ່າງກັນ
ອໍານາດຕັດສິນ, ສິດອໍານາດບ້ານປະສິດທິພາບສໍາລັບການຮ້ອງຂໍແມ່ນຂຶ້ນກັບທີ່
ຂໍ້ມູນປະຈຳຕົວຖືກເລືອກໃນລະຫວ່າງການປະມວນຜົນການອະນຸຍາດ. ທິດທາງການຕັ້ງຄ່າແມ່ນ
ມີໃຫ້ເພື່ອຈໍາກັດຈໍານວນຊຸດຂອງຂໍ້ມູນປະຈໍາຕົວທີ່ອາດຈະມາພ້ອມກັບຄໍາຮ້ອງຂໍ.
ຜູ້ໃຊ້ ຕົວແທນ
ຕົວແທນຜູ້ໃຊ້ແມ່ນຊອບແວຂ້າງລູກຄ້າທີ່ພົວພັນກັບຊອບແວອື່ນໆ (ເຄື່ອງແມ່ຂ່າຍ
ຄໍາຮ້ອງສະຫມັກ, ໂດຍທົ່ວໄປ) ໃນນາມຂອງ a ຜູ້ໃຊ້. ຜູ້ໃຊ້ມັກຈະເປັນບຸກຄົນແຕ່ຍັງສາມາດເປັນ
ຊອບແວ. ຕົວທ່ອງເວັບເວັບໄຊຕ໌, ເຊິ່ງຖືກນໍາໃຊ້ເພື່ອພົວພັນກັບເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌, ເປັນຕົວຢ່າງຂອງ
ຕົວແທນຜູ້ໃຊ້.
ການຕັ້ງຊື່
DACs ຈໍາເປັນຕ້ອງໄດ້ຕັ້ງຊື່ຂອງສິ່ງທີ່ຫຼາກຫຼາຍເພື່ອໃຫ້ເຂົາເຈົ້າໄດ້ຮັບການອ້າງອີງໃນສໍານວນ,
ການເຂົ້າເຖິງກົດລະບຽບການຄວບຄຸມ, ຄໍາແນະນໍາການຕັ້ງຄ່າ, ແລະອື່ນໆ. ໃນຂະນະທີ່ syntax URI ຖືກນໍາໃຊ້ເພື່ອ
ຊື່ບາງປະເພດຂອງວັດຖຸພາຍໃນ DACs, DACs ຍັງມີລະບົບການຕັ້ງຊື່ທີ່ຫຍໍ້ຂອງຕົນເອງ.
ຫມາຍເຫດ
ຂໍ້ກໍານົດຂອງສະຫະພັນໃນປະຈຸບັນ (ເຂດອໍານາດການປົກຄອງໃນປະຈຸບັນ) ແລະສະຫະພັນນີ້ (ນີ້
jurisdiction) ແມ່ນໃຊ້ໃນເອກະສານເພື່ອອ້າງອີງເຖິງສະຫະພັນ (ເຂດອຳນາດ)
ກ່ຽວຂ້ອງກັບບໍລິບົດການຕັ້ງຄ່າທີ່ມີຜົນໃນຂະນະທີ່ DACs ດໍາເນີນການຮ້ອງຂໍ.
ໂດຍທົ່ວໄປ, ຊື່ສະຫະພັນ ອົງປະກອບຂອງຊື່ເປັນທາງເລືອກ; ຖ້າບໍ່ມີ, ໄດ້
ສະຫະພັນປະຈຸບັນແມ່ນສົມມຸດ. ເຊັ່ນດຽວກັນ, ໄດ້ jurisdiction-name ອາດຈະຖືກລົບລ້າງແລະ
ອໍານາດຕັດສິນໃນປະຈຸບັນແມ່ນຫມາຍເຖິງ.
ສະຫະພັນ
Syntax:
ຊື່ສະຫະພັນ::
ຕົວຢ່າງ:
ຕົວຢ່າງ::
ໄດ້ ຊື່ສະຫະພັນ (ປົກກະຕິແລ້ວໄດ້ມາຈາກ ກ FEDERATION_NAME[27] ການຕັ້ງຄ່າ
directive) ຈະຕ້ອງເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ ແລະຕິດຕາມດ້ວຍສູນ ຫຼືຫຼາຍກວ່ານັ້ນ
ຕົວເລກແລະຕົວເລກ, ຂີດຫຍໍ້, ແລະຂີດກ້ອງ. ກ ຊື່ສະຫະພັນ ແມ່ນກໍລະນີການປິ່ນປົວປົກກະຕິ
ລະອຽດອ່ອນ (ແຕ່ເບິ່ງ NAME_COMPARE[24] ຄໍາແນະນໍາການຕັ້ງຄ່າແລະ ຜູ້ໃຊ້()[25]
ຫນ້າທີ່ສໍາລັບພຶດຕິກໍາສະຫຼັບກັນ). ບໍ່ມີ a ບຸລິມະສິດ ຈໍາກັດຄວາມຍາວຂອງຕົນ.
ໄດ້ FEDERATION_DOMAIN[28] ຄໍາສັ່ງລະບຸຊື່ໂດເມນ suffix ທົ່ວໄປກັບທຸກຄົນ
ສິດອຳນາດໃນສະຫະພັນ.
ອໍານາດການປົກຄອງ
Syntax:
[[ຊື່ສະຫະພັນ:: | [::]] jurisdiction-name:
ຕົວຢ່າງ:
ຕົວຢ່າງ::DSS:
::DSS:
DSS:
ໄດ້ jurisdiction-name (ປົກກະຕິແລ້ວໄດ້ມາຈາກ ກ JURISDICTION_NAME[29] ການຕັ້ງຄ່າ
directive) ຈະຕ້ອງເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ ແລະຕິດຕາມດ້ວຍສູນ ຫຼືຫຼາຍກວ່ານັ້ນ
ຕົວເລກແລະຕົວເລກ, ຂີດຫຍໍ້, ແລະຂີດກ້ອງ. ກ jurisdiction-name ແມ່ນໄດ້ຮັບການປິ່ນປົວປົກກະຕິ
ກໍລະນີທີ່ລະອຽດອ່ອນ (ແຕ່ເບິ່ງ NAME_COMPARE[24] ຄໍາແນະນໍາການຕັ້ງຄ່າແລະ
ຜູ້ໃຊ້()[25] ການທໍາງານສໍາລັບການສະຫຼັບພຶດຕິກໍາ). ບໍ່ມີ a ບຸລິມະສິດ ຈໍາກັດຂອງຕົນ
ຄວາມຍາວ.
ຜູ້ຊົມໃຊ້
Syntax:
[[[ຊື່ສະຫະພັນ:: | [::]] jurisdiction-name]:ຊື່ຜູ້ໃຊ້
ຕົວຢ່າງ:
DEMO::DSS:auggie
::DSS:auggie
DSS:auggie
:auggie
ຢ່າງເຕັມທີ່ DACs ເອກະລັກປະກອບມີອົງປະກອບຊື່ສະຫະພັນ ແລະຊື່ເຂດອຳນາດ
ອົງປະກອບ, ນອກເຫນືອໄປຈາກ ຊື່ຜູ້ໃຊ້. ມັນໄດ້ຖືກສະຫນອງໃຫ້ DACs- ໂຄງການຫໍ່ເປັນ
ມູນຄ່າຂອງ DACS_IDENTITY[30] ສະພາບແວດລ້ອມປ່ຽນແປງ.
ອົງປະກອບຊື່ຜູ້ໃຊ້, ທີ່ມີຢູ່ໃນໂຄງການ CGI ເປັນມູນຄ່າຂອງ
DACS_USERNAME[31] ສະພາບແວດລ້ອມຕົວແປ, ປະກອບດ້ວຍຫນຶ່ງຫຼືຫຼາຍຕົວອັກສອນ ASCII ຈາກ
ຊຸດຂອງຕົວພິມນ້ອຍ, ຕົວເລກ, ແລະເຄື່ອງໝາຍວັກຕອນຕໍ່ໄປນີ້
ຕົວອັກສອນ:
! # $ % & ' - . ; ? @ [ ^ _ ` { }
ຕົວອັກສອນທັງໝົດທີ່ມີຄ່າຕ່ຳກວ່າ 041 (octal) ຫຼືໃຫຍ່ກວ່າ 0176 (octal) ແມ່ນ
ທີ່ບໍ່ຖືກຕ້ອງ, ດັ່ງທີ່ມີລັກສະນະດັ່ງຕໍ່ໄປນີ້:
* , : + ( ) ~ < > = | \ / "
ອ່ືນ
· ນອກເຫນືອໄປຈາກຕົວອັກສອນແລະຕົວເລກ, RFC 2396[32] ອະນຸຍາດໃຫ້ພຽງແຕ່ໄດ້
ຕົວອັກສອນຕໍ່ໄປນີ້ ("pchar") ປາກົດຢູ່ໃນອົງປະກອບເສັ້ນທາງຂອງ URI:
- _ . ! ~ * ' ( ) % : @ & = + $ ,
· ບາງທີ່ຢູ່ອີເມວທີ່ຖືກຕ້ອງບໍ່ຖືກຕ້ອງ DACs ຊື່ຜູ້ໃຊ້. ຍົກຕົວຢ່າງ,
*bob*@example.com, "(bob)"@example.com, ແລະ \(bob\)@example.com ແມ່ນຖືກຕ້ອງ
ຊື່ກ່ອງຈົດໝາຍຕາມກຳນົດໂດຍ RFC 822[33] (ເອກະສານຊ້ອນທ້າຍ D) ແລະປຶກສາຫາລືໃນ RFC
3696[34] (ພາກທີ 3), ແຕ່ທັງສອງບໍ່ຖືກຕ້ອງເປັນ DACs ຊື່ຜູ້ໃຊ້. ເວັ້ນເສຍແຕ່ວ່າອ້າງອີງ,
ອົງປະກອບສ່ວນທ້ອງຖິ່ນຂອງທີ່ຢູ່ອີເມວ, ເຊິ່ງກ່ອນຕົວອັກສອນ "@".
ໃນ addr-spec, ອາດຈະບໍ່ມີອັນໃດອັນໜຶ່ງຂອງ:
( ) < > @ , ; : \ " . [ ]
ນອກຈາກນັ້ນ, ຊ່ອງແລະຕົວອັກສອນຄວບຄຸມ US-ASCII ທັງໝົດ (octets 0 - 31)
ແລະ DEL (127) ແມ່ນບໍ່ອະນຸຍາດ. ຖ້າບໍ່ມີວົງຢືມ, ສ່ວນທ້ອງຖິ່ນອາດຈະປະກອບດ້ວຍ
ການປະສົມປະສານຂອງຕົວອັກສອນ, ຕົວເລກ, ຫຼືຕົວອັກສອນຕໍ່ໄປນີ້:
! # $ % & ' * + - / = ? ^_` . { | } ~
ໄລຍະເວລາ (".") ອາດຈະຖືກນໍາໃຊ້, ແຕ່ອາດຈະບໍ່ເລີ່ມຕົ້ນຫຼືສິ້ນສຸດສ່ວນທ້ອງຖິ່ນ, ຫຼືອາດຈະ
ສອງຫຼືຫຼາຍກວ່າໄລຍະເວລາຕິດຕໍ່ກັນປາກົດ. ພາຍໃນວົງຢືມຄູ່, ASCII ໃດ
ລັກສະນະອາດຈະປາກົດຖ້າຖືກອ້າງອີງຢ່າງຖືກຕ້ອງ (ເຊັ່ນ: Auggie."
".O."\'".[email protected]). ຄວາມຍາວສູງສຸດຂອງພາກສ່ວນທ້ອງຖິ່ນແມ່ນ 64
ຕົວອັກສອນ, ແລະຄວາມຍາວສູງສຸດຂອງອົງປະກອບໂດເມນທີ່ປາກົດຫຼັງຈາກນັ້ນ
ຕົວອັກສອນ "@" ແມ່ນ 255 ຕົວອັກສອນ.
ໃນປັດຈຸບັນບໍ່ມີວິທີທີ່ຈະ "ອ້າງອີງ" a DACs ຊື່ຜູ້ໃຊ້, ດັ່ງນັ້ນບາງການເຂົ້າລະຫັດທີ່ປອດໄພ
ວິທີການຫຼືການຫັນປ່ຽນຕ້ອງຖືກນໍາໃຊ້ກັບຊື່ເຫຼົ່ານີ້.
· DACs ອາດຈະສ້າງຕົວຕົນສໍາລັບການນໍາໃຊ້ພາຍໃນທີ່ມີອົງປະກອບຊື່ຜູ້ໃຊ້ທີ່
ປະກອບມີຕົວອັກສອນທີ່ປົກກະຕິບໍ່ຖືກຕ້ອງ.
ກ ຊື່ຜູ້ໃຊ້ ແມ່ນຕົວພິມນ້ອຍໃຫຍ່ (ແຕ່ເບິ່ງ NAME_COMPARE[24] ການຕັ້ງຄ່າ
ຄໍາສັ່ງແລະ ຜູ້ໃຊ້()[25] ການທໍາງານສໍາລັບການສະຫຼັບພຶດຕິກໍາ). ບໍ່ມີ a
ບຸລິມະສິດ ຈໍາກັດຄວາມຍາວຂອງຕົນ.
· ການປະຕິບັດທີ່ແນະນໍາແມ່ນສໍາລັບສິດອໍານາດໃນການສ້າງແຜນທີ່ຂອງເຂົາເຈົ້າ DACs ຊື່ຜູ້ໃຊ້ເພື່ອ
ກໍລະນີຕ່ໍາໃນລະຫວ່າງຂັ້ນຕອນການພິສູດຢືນຢັນທີ່ເປັນໄປໄດ້ແລະໃນເວລາທີ່
ແຜນທີ່ແມ່ນເປັນເອກະລັກ. ໄດ້ ອອກ*[35] ຄໍາສັ່ງອາດຈະຖືກນໍາໃຊ້ເພື່ອຈຸດປະສົງນີ້.
Groups
Syntax:
[[ຊື່ສະຫະພັນ:: | [::]] %[jurisdiction-name]:ຊື່ກຸ່ມ
A ຊື່ກຸ່ມ ຕ້ອງເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ ແລະ ອາດຈະຕິດຕາມດ້ວຍຕົວເລກໃດກໍໄດ້
ຂອງຕົວເລກ ແລະ ຕົວເລກ, ຂີດຫຍໍ້ ("-"), ແລະຂີດກ້ອງ ("_") ຕົວອັກສອນ.
ຕົວຢ່າງ:
%DEMO::DSS:ໝູ່
%::DSS:ໝູ່
%DSS:ໝູ່
%:ໝູ່
ບົດບາດ ແລະ ຕົວອະທິບາຍບົດບາດ
Syntax:
ບົດອະທິບາຍບົດບາດ -> Empty-String | ລາຍຊື່ບົດບາດ
ລາຍຊື່ບົດບາດ -> ພາລະບົດບາດ | ພາລະບົດບາດ "," ລາຍຊື່ບົດບາດ
ພາລະບົດບາດ -> ບົດບາດພື້ນຖານ | Composite-ບົດບາດ
ບົດບາດພື້ນຖານ -> [A-ZA-Z0-9 \ -] +
Composite-ບົດບາດ -> ບົດບາດພື້ນຖານ "/" ບົດບາດພື້ນຖານ | ບົດບາດພື້ນຖານ "/" Composite-ບົດບາດ
Empty-String -> ""
ສະຕຣິງ descriptor ບົດບາດ (ຍັງເອີ້ນວ່າ string ບົດບາດ ຫຼື ຕົວອະທິບາຍບົດບາດ) ປະກອບດ້ວຍ
ເຄື່ອງໝາຍຈຸດທີ່ແຍກລາຍຊື່ບົດບາດ. ຊື່ບົດບາດ (ກ ບົດບາດພື້ນຖານ) ແມ່ນການກໍ່ສ້າງຈາກ
ຕົວອັກສອນຕົວພິມໃຫຍ່ ແລະ ໂຕພິມນ້ອຍ, ຕົວເລກ, ຂີດຫຍໍ້, ແລະຂີດກ້ອງ. ກ Composite-ບົດບາດ is
ກໍ່ສ້າງຈາກສອງຫຼືຫຼາຍກວ່ານັ້ນ ບົດບາດພື້ນຖານ ຂໍ້ກໍານົດ, ແຍກໂດຍຕົວອັກສອນຫຍໍ້ຫນ້າ. ທີ່ນີ້
ແມ່ນສາມຕົວຢ່າງຂອງຜູ້ອະທິບາຍບົດບາດ:
admin,wheel,ຮາກ
admin/ຮາດແວ
ເຄືອຂ່າຍ/ໂຄງການ, ວິທະຍາສາດຄອມພິວເຕີ/ລະບົບ/Project_X
ຫມາຍເຫດ
ສະຕຣິງຕົວອະທິບາຍບົດບາດບໍ່ມີຕົວອັກສອນຊ່ອງຫວ່າງ ແລະອາດຈະບໍ່ເລີ່ມຕົ້ນ ຫຼື
ສິ້ນສຸດດ້ວຍເຄື່ອງໝາຍຈຸດ ຫຼືຕົວຫຍໍ້. ສອງ ຫຼືຫຼາຍກວ່ານັ້ນໝາຍຈຸດຕິດຕໍ່ກັນແມ່ນຜິດກົດໝາຍ,
ເຊັ່ນດຽວກັບສອງ ຫຼືຫຼາຍກວ່ານັ້ນເຄື່ອງຕັດຕິດຕໍ່ກັນ.
ໄດ້ setvar()[36] ຟັງຊັນສາມາດໃຊ້ເພື່ອແຍກບົດບາດປະກອບເປັນພື້ນຖານຂອງມັນ
ພາລະບົດບາດ.
ກະລຸນາເບິ່ງ dacs.groups(5)[37] ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
Concise User Syntax
Syntax:
ident -> '{' kwv-list '}' | ຜູ້ໃຊ້
kwv-list -> ຄອບ [',' ຄອບ]*
ຄອບ -> kwv-ຜູ້ໃຊ້ | kwv-ກຸ່ມ | kwv-attr | kwv-ip | kwv-ໝົດອາຍຸ
kwv-ຜູ້ໃຊ້ -> 'u=' [Q] ຜູ້ໃຊ້ [ຖາມ]
kwv-ກຸ່ມ -> 'g=' [Q] ກຸ່ມ [ຖາມ]
kwv-attr -> 'a=' [Q] attr [ຖາມ]
kwv-ໝົດອາຍຸ -> 'e=' [Q] ໝົດ ອາຍຸ [ຖາມ]
kwv-ip -> 'ip=' [Q] ip-addr [ຖາມ]
ຜູ້ໃຊ້ -> ຊື່ງ່າຍດາຍ | DACS-ຕົວຕົນ
ກຸ່ມ -> ກຸ່ມ [',' ກຸ່ມ]*
ກຸ່ມ -> ຊື່ກຸ່ມ | ຜູ້ອະທິບາຍບົດບາດ
attr -> ຕົວອັກສອນໃດກໍໄດ້
ip-addr -> any-IP-addr
ໝົດ ອາຍຸ -> +rel-ວິນາທີ | ວັນ
ບ່ອນທີ່:
· Q ເປັນທາງເລືອກ (ກົງກັນ) ຕົວອັກສອນ quote;
· ຊ່ອງຫວ່າງອາດມີທາງເລືອກກ່ອນ tokens ສ່ວນໃຫຍ່;
ກ DACS-ຕົວຕົນ ແມ່ນເຕັມຫຼືຫຍໍ້ DACs identity[38]
ກ ຊື່ງ່າຍດາຍ ເປັນ ຊື່ຜູ້ໃຊ້ ອົງປະກອບຂອງ ກ DACs ຕົວຕົນ (ie, ໂດຍບໍ່ມີການໃດໆ
ຈໍ້າສອງເມັດ); ດັ່ງນັ້ນ, ໃນສະພາບການນີ້, ຊື່ "ພິເສດ", ເຊັ່ນ: ການກວດສອບ, ຖືກປະຕິບັດ
ເປັນ: auth
· ຜູ້ອະທິບາຍບົດບາດ ຕ້ອງເປັນທີ່ຖືກຕ້ອງ DACs ສາຍບົດບາດແລະ ຊື່ກຸ່ມ ຕ້ອງເປັນທີ່ຖືກຕ້ອງ
DACs ຊື່ກຸ່ມ (ເບິ່ງ dacs_authenticate(8)[39] ແລະ dacs.groups(5)[40]);
· ທີ່ຢູ່ IP ສະແດງອອກໃນມາດຕະຖານອິນເຕີເນັດຂອງຕົວເລກ dot (ເຊັ່ນ:
10.0.0.1); ແລະ
· ຕະຫຼອດຊີວິດຂອງໃບຢັ້ງຢືນທີ່ມາຈາກຕົວຕົນສາມາດສະແດງອອກເປັນ
ຈໍານວນວິນາທີທີ່ໃຫ້ມາ (ເຊັ່ນ, "e=+3600") ຫຼືວັນທີທີ່ໃຫ້ຢູ່ໃນອັນນຶ່ງຕໍ່ໄປນີ້
ຮູບແບບ (ເບິ່ງ strptime(3)[41]):
%a, %d-%b-%Y %H:%M:%S GMT
%d-%b-%Y
%b %d, %Y
%b %d
%Y-%m-%dT%H:%M:%SZ
ເມື່ອມີຄວາມຈໍາເປັນ, ວັນທີຖືກຕີຄວາມສົມທຽບກັບເວລາຫຼືວັນທີປະຈຸບັນ. ໄດ້
ຕະຫຼອດຊີວິດຖືກປ່ຽນເປັນຮູບແບບ canonical ຂອງມັນ, ເຊິ່ງເປັນເວລາແລະວັນທີຢ່າງແທ້ຈິງ
ໃນວິນາທີນັບຕັ້ງແຕ່ Epoch, ອີງໃສ່ໂມງຂອງອໍານາດຕັດສິນ. ວັນທີໃນອະດີດ
ສາມາດລະບຸໄດ້; ນີ້ອາດຈະເປັນປະໂຫຍດສໍາລັບການທົດສອບ, ສໍາລັບການຍົກຕົວຢ່າງ. ຖ້າຕົວຕົນ
ບໍ່ໄດ້ຖືກນໍາໃຊ້ເພື່ອສ້າງຂໍ້ມູນປະຈໍາຕົວ, ວັນທີຫມົດອາຍຸແມ່ນຖືກລະເລີຍ, ເຖິງແມ່ນວ່າມັນຈະຕ້ອງເປັນ
ຖືກຕ້ອງ syntactically.
· ຄ່າຄຸນລັກສະນະທີ່ຮອງຮັບພຽງແຕ່ "a", ຊຶ່ງຫມາຍຄວາມວ່າຕົວຕົນຄວນຈະເປັນ
ຮັບການປິ່ນປົວເປັນ ADMIN_IDENTITY[23] (ອ້າງເຖິງ -admin ທຸງຂອງ dacscheck(1)[19]).
ຊື່ທີ່ສະແດງອອກໃນ syntax ຫຍໍ້, ໃຫ້ຊື່ຜູ້ໃຊ້ແລະ, ທາງເລືອກ, ພາລະບົດບາດແລະ
ຄຸນລັກສະນະຂອງຕົວຕົນ. ມັນຖືກນໍາໃຊ້ໂດຍ dacscheck(1)[19], ສໍາລັບການຍົກຕົວຢ່າງ.
ໄດ້ dacs ຜົນປະໂຫຍດ
DACs ຄໍາສັ່ງ utility ປົກກະຕິແລ້ວແມ່ນຕິດຕັ້ງເປັນ binaries ແຍກຕ່າງຫາກ, ແຕ່ DACs ສາມາດ (ຍັງ ຫຼື
ແທນ ທີ່ ຈະ) ໄດ້ ຮັບ ການ ກໍ່ ສ້າງ ດ້ວຍ ທີ່ ສຸດ ຂອງ ພວກ ເຂົາ ລວມ ເຂົ້າ ໄປ ໃນ ຄູ່ ດຽວ ທີ່ ຕິດ ຕັ້ງ ເປັນ
dacs. ຫຼັງຈາກນັ້ນ, ໂຄງການຜົນປະໂຫຍດຕ່າງໆອາດຈະຖືກດໍາເນີນການເປັນ:
% dacs dacs-ຄໍາສັ່ງ [dacsoptions] [ຕົວເລືອກຄໍາສັ່ງ]
ຍົກຕົວຢ່າງ:
% dacs dacskey -u foo.myfed.com outfile
ແລ່ນໄດ້ dacs ຜົນປະໂຫຍດທີ່ບໍ່ມີການໂຕ້ຖຽງຈະສະແດງບັນຊີລາຍຊື່ຂອງຄໍາສັ່ງຍ່ອຍທີ່ມີຢູ່.
ເລີ່ມຕົ້ນ ການປະມວນຜົນ
ຫຼາຍທີ່ສຸດ DACs ໂປລແກລມປະຕິບັດການດໍາເນີນການຕໍ່ໄປນີ້ເມື່ອພວກເຂົາເລີ່ມຕົ້ນ:
1. ກໍານົດ "ຮູບແບບ" ທີ່ເຂົາເຈົ້າຄວນຈະດໍາເນີນການ; ສໍາລັບຕົວຢ່າງ, ຖ້າຫາກວ່າ REMOTE_ADDR
ຕົວແປສະພາບແວດລ້ອມແມ່ນມີຢູ່, ໂດຍທົ່ວໄປແລ້ວບັນດາໂຄງການຈະສົມມຸດວ່າພວກເຂົາຄວນຈະດໍາເນີນການເປັນ
ຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ແທນທີ່ຈະເປັນຄໍາສັ່ງຜົນປະໂຫຍດ
2. ປະມວນຜົນຊຸດມາດຕະຖານຂອງ arguments ແຖວຄໍາສັ່ງ (dacsoptions[42])
3. ຕັ້ງຂະບວນການ umask ເປັນ 007 ເພື່ອບໍ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງໂລກສໍາລັບໄຟລ໌ທີ່ສ້າງຂຶ້ນ
4. ປິດການຖິ້ມຂີ້ເຫຍື້ອຫຼັກເພື່ອບໍ່ໃຫ້ຂໍ້ມູນລະອຽດອ່ອນຖືກເປີດເຜີຍໂດຍການກວດເບິ່ງພວກມັນ
(ແຕ່ເບິ່ງ --enable-dump[43])
5. ປະຕິເສດທີ່ຈະດໍາເນີນການຖ້າຫາກວ່າໄຟລ໌ການຕັ້ງຄ່າໃດບໍ່ສາມາດພົບເຫັນຫຼືມີຄວາມຜິດພາດ
6. ສໍາລັບການບໍລິການເວັບໄຊຕ໌, ເຮັດໃຫ້ໄດ້ DACs home directory ໄດເລກະທໍລີທີ່ເຮັດວຽກໃນປະຈຸບັນ
7. ຖ້າ "ໂຫມດປອດໄພ" ໄດ້ຖືກເປີດໃຊ້, ບໍລິການເວັບຈະດໍາເນີນການພຽງແຕ່ການຮ້ອງຂໍ HTTPS
8. ກວດສອບວ່າສະບັບທີ່ຕ້ອງການໂດຍການຮ້ອງຂໍແມ່ນເຫມາະສົມກັບສະບັບຂອງ DACs
ໄດ້ຮັບຄໍາຮ້ອງສະຫມັກ
9. ປະມວນຜົນການໂຕ້ຖຽງເສັ້ນຄໍາສັ່ງສະເພາະໂຄງການ.
DACs ບັນດາໂຄງການພະຍາຍາມທໍາລາຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ (ເຊັ່ນ: ລະຫັດຜ່ານ) ທັນທີ
ເນື່ອງຈາກວ່າມັນບໍ່ຈໍາເປັນອີກຕໍ່ໄປແລະບໍ່ໃຫ້ຂຽນຂໍ້ມູນທີ່ລະອຽດອ່ອນທີ່ມີທ່າແຮງທີ່ຈະບັນທຶກໄຟລ໌
ເວັ້ນ ເສຍ ແຕ່ ໄດ້ ຕັ້ງ ຄ່າ ໂດຍ ສະ ເພາະ ເພື່ອ ເຮັດ ແນວ ນັ້ນ.
Internals
ບາງ DACs ອົງປະກອບອາດຈະໂທຫາອົງປະກອບອື່ນໆໂດຍໃຊ້ HTTP (ອາດຈະເປັນຫຼາຍກວ່າ SSL, ຂຶ້ນກັບ
ການຕັ້ງຄ່າ). ຕົວຢ່າງ, ໂມດູນການກວດສອບຄວາມຖືກຕ້ອງອາດຈະຖືກເອີ້ນເປັນບໍລິການເວັບໂດຍ
dacs_authenticate(8)[39]. ໃນທຸກກໍລະນີ, ການໂທ HTTP "ພາຍໃນ" ເຫຼົ່ານີ້ອາດຈະບໍ່ເຮັດໃຫ້ເປັນ
ການປ່ຽນເສັ້ນທາງ, ເຊັ່ນຜ່ານລະຫັດສະຖານະ 302 ພົບ. ເຖິງແມ່ນວ່າບາງຄັ້ງນີ້ສາມາດເປັນ
ຄວາມບໍ່ສະດວກ, ມັນແມ່ນ, ໃນບາງສ່ວນ, ເປັນມາດຕະການຄວາມປອດໄພ.
ເຄັດລັບ
ເມື່ອແກ້ໄຂບັນຫາທີ່ອາດຈະກ່ຽວຂ້ອງກັບການຮ້ອງຂໍ HTTP ພາຍໃນ (ໂດຍສະເພາະທີ່ກ່ຽວຂ້ອງ
ການກວດສອບຄວາມຖືກຕ້ອງ), ກວດສອບວ່າ DACs ບໍ່ໄດ້ຮັບການປ່ຽນເສັ້ນທາງ. HTTP ພາຍໃນ
ການຮ້ອງຂໍອາດຈະລົ້ມເຫລວຢ່າງລຶກລັບເນື່ອງຈາກການຕັ້ງຄ່າບໍ່ຖືກຕ້ອງຫຼືບໍ່ຄົບຖ້ວນ
ຂອງຕົວກໍານົດການ SSL. ການຮ້ອງຂໍ HTTP ພາຍໃນຫຼາຍກວ່າການໃຊ້ SSL sslclient(1)[4], ເຊັ່ນດຽວກັນກັບ
dacshttp(1)[3] ຄໍາສັ່ງ. ຖ້າທ່ານສົງໃສວ່າ URL ແບບ https ອາດຈະບໍ່ເຮັດວຽກ,
debug ບັນຫາການນໍາໃຊ້ sslclient ແລະຫຼັງຈາກນັ້ນ dacshttp.
ເພື່ອຮັກສາຄວາມສອດຄ່ອງຂອງຂໍ້ມູນ, DACs ສ້າງ locks ສະເພາະໂດຍນໍາໃຊ້ fcntl(2)[44] ລະບົບ
ໂທຫາໄຟລ໌ທີ່ຂຽນໄວ້ໃນໄດເລກະທໍລີທີ່ຖືກຕັ້ງຄ່າໂດຍຜ່ານ TEMP_DIRECTORY[45]
ທິດທາງ.
ການຕັດໄມ້ທ່ອນ
ຫຼາຍທີ່ສຸດ DACs ການບໍລິການ ແລະສາທາລະນູປະໂພກຂຽນຂໍ້ຄວາມປະເພດຕ່າງໆໃສ່ໜຶ່ງ ຫຼືຫຼາຍໄຟລ໌ບັນທຶກ.
ຂໍ້ຄວາມເຫຼົ່ານີ້ສາມາດມີຄ່າໃນເວລາທີ່ພະຍາຍາມຊອກຫາສິ່ງທີ່ DACs ແມ່ນເຮັດ, ສໍາລັບ
ການກວດສອບຄວາມປອດໄພ, ຫຼືເພື່ອເບິ່ງວ່າອັນໃດ DACs-wrapped ຊັບພະຍາກອນໄດ້ຖືກເຂົ້າເຖິງແລະໃນສິ່ງທີ່
ວິທີການ.
ກະລຸນາເບິ່ງ dacs.conf(5)[46] ສໍາລັບຂໍ້ມູນກ່ຽວກັບຄໍາແນະນໍາການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງກັບ
ການຕັດໄມ້. ການແບ່ງປະເພດຂອງທຸງບັນທັດຄໍາສັ່ງ, ອະທິບາຍຂ້າງລຸ່ມນີ້, ຍັງກ່ຽວຂ້ອງກັບ
ການຕັດໄມ້.
ຫມາຍເຫດ
· DACs ສາມາດສົ່ງຂໍ້ຄວາມເຂົ້າສູ່ລະບົບກ່ອນທີ່ການປຸງແຕ່ງການຕັ້ງຄ່າແມ່ນສໍາເລັດແລະ
ຄຳແນະນຳການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງກັບການບັນທຶກບໍ່ມີຜົນໃນລະຫວ່າງນີ້
ໄລຍະການເລີ່ມຕົ້ນ.
· ເນື່ອງຈາກວ່າ mod_auth_dacs[2] ເປັນ Apache ໂມດູນ, ໄດ້ Apache ນຳໃຊ້ຄຳສັ່ງບັນທຶກ
ກັບມັນ (ແລະບໍ່ແມ່ນ DACs ຄໍາສັ່ງ) ແລະຂໍ້ຄວາມບັນທຶກຂອງມັນຖືກຂຽນໃສ່ Apache log
ໄຟລ໌.
· ໄຟລ໌ບັນທຶກສາມາດກາຍເປັນຂະຫນາດໃຫຍ່ຢ່າງໄວວາ, ໂດຍສະເພາະເມື່ອລະດັບການບັນທຶກຖືກຕັ້ງເປັນ
debug ຫຼືລະດັບການຕິດຕາມ. ພິຈາລະນາການຫມຸນປະຈໍາວັນຫຼືການຕັດອອກ.
· ຂໍ້ຄວາມບັນທຶກເປັນບາງໂອກາດຈະຂະຫຍາຍຫຼາຍສາຍ.
ຄ່າເລີ່ມຕົ້ນຂອງ LOG_FORMAT[47] ຄໍາສັ່ງ, ທີ່ຄວບຄຸມຮູບລັກສະນະຂອງໄມ້ທ່ອນ
ຂໍ້ຄວາມ, ຖືກກໍານົດຢູ່ໃນ include/local.h ເປັນ LOG_FORMAT_DEFAULT_WEB ສໍາລັບ DACs ບໍລິການເວັບ
ແລະ LOG_FORMAT_DEFAULT_CMD ສໍາລັບທຸກຢ່າງອື່ນ. ນີ້ແມ່ນຂໍ້ຄວາມບັນທຶກປົກກະຕິ:
[Wed Jul 12 12:37:09 2006] [trace] [83648,1060,-] [dacs_acs:"acslib"] ອະນຸຍາດ.
ການເຂົ້າເຖິງປະໂຫຍກ
ລະດັບການກວດສອບ ຕົວເຊັນເຂົ້າ ຂໍ້ຄວາມ
ໃນກໍລະນີຂອງຂໍ້ຄວາມລະດັບການກວດສອບ, ບາງຄັ້ງສະຕຣິງພາຍໃນວົງເລັບອາດຈະປະຕິບັດຕາມ
ຕົວຕົນ, ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້. string ນີ້, ເອີ້ນວ່າ tracker, associates log
ຂໍ້ຄວາມທີ່ມີຕົ້ນກໍາເນີດໂດຍສະເພາະແລະສາມາດຖືກນໍາໃຊ້ເພື່ອຕິດຕາມລໍາດັບຂອງຜູ້ໃຊ້
ການຮ້ອງຂໍການບໍລິການໂດຍໃຊ້ຂໍ້ຄວາມບັນທຶກໃນທົ່ວສະຫະພັນ. ນີ້ສາມາດເປັນປະໂຫຍດໃນເວລາທີ່
debugging, ຊອກຫາບັນຫາຄວາມປອດໄພ, ຫຼືການວິເຄາະ forensic.
ສໍາລັບຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບການກວດສອບ, ບົບຕິດຕາມລຸດສາມາດໄດ້ຮັບພຽງແຕ່ heuristically, ຈາກ
ອົງປະກອບຂອງບໍລິບົດການປະຕິບັດ. ທີ່ຢູ່ IP ຂອງຜູ້ໃຊ້, ສະຕຣິງຕົວແທນຜູ້ໃຊ້, ແລະ SSL
ໃບຢັ້ງຢືນລູກຄ້າ, ເມື່ອມີ, ຖືກໃຊ້. ຖ້າສອງສາຍຕິດຕາມເຫຼົ່ານີ້ແຕກຕ່າງກັນ,
ການຮ້ອງຂໍໂດຍທົ່ວໄປແມ່ນມາຈາກເຈົ້າພາບ, ຕົວທ່ອງເວັບ, ຫຼືຜູ້ໃຊ້ທີ່ແຕກຕ່າງກັນ, ແຕ່ນີ້
ບໍ່ຈໍາເປັນຕ້ອງເປັນກໍລະນີສະເຫມີ. ເຊັ່ນດຽວກັນ, ຖ້າສະຕຣິງ tracker ດຽວກັນແມ່ນ
ກ່ຽວຂ້ອງກັບສອງຂໍ້ຄວາມບັນທຶກ, ການຮ້ອງຂໍການບໍລິການແມ່ນບໍ່ຈໍາເປັນ
ອອກໃຫ້ໂດຍຜູ້ໃຊ້ດຽວກັນ.
ສໍາລັບຜູ້ໃຊ້ທີ່ຮັບຮອງຄວາມຖືກຕ້ອງ, ສະຕຣິງ tracker ປະກອບດ້ວຍ heuristically-derived
ສະຕຣິງ, ຕາມດ້ວຍເຄື່ອງໝາຍຈຸດ, ຕິດຕາມດ້ວຍສະຕຣິງທີ່ເປັນເອກະລັກສະເພາະກັບຜູ້ໃຊ້
ໃບຮັບຮອງ. ບົບຕິດຕາມລຸດນີ້ມີຄວາມເປັນໄປໄດ້ສູງທີ່ຈະເປັນເອກະລັກແລະມີ
ການສ້າງແຜນທີ່ແບບໜຶ່ງຕໍ່ໜຶ່ງກັບຜູ້ໃຊ້ສະເພາະ.
ພິຈາລະນາການເຫຼົ່ານີ້ (condensed) ການເຂົ້າໄຟລ໌ບັນທຶກ:
[Wed Jul 12 15:56:24 2006] [notice] [83963,1067,A] [dacs_acs:"authlib"]
*** ການເຂົ້າເຖິງໄດ້ຮັບອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບຮອງ (7vJLWzv5) ຈາກ 10.0.0.124
ສໍາລັບ /cgi-bin/dacs/dacs_current_credentials
[Wed Jul 12 15:56:27 2006] [notice] [83965,1073,A] [dacs_acs:"authlib"]
*** ການເຂົ້າເຖິງໄດ້ຮັບອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບຮອງ (7vJLWzv5) ຈາກ 10.0.0.124
ສໍາລັບ /cgi-bin/dacs/dacs_authenticate
[Wed Jul 12 15:56:27 2006] [debug] [83966,172,A] [dacs_authenticate:"authlib"]
ການພິສູດຢືນຢັນສຳເລັດແລ້ວສຳລັບ HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
[Wed Jul 12 15:56:30 2006] [notice] [83973,1078,A] [dacs_acs:"authlib"]
*** ອະນຸຍາດໃຫ້ເຂົ້າເຖິງ DSS::HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
ຈາກ 10.0.0.124 ສໍາລັບ /cgi-bin/dacs/dacs_current_credentials
ໃນສອງຂໍ້ຄວາມທໍາອິດຂອງບັນທຶກຂ້າງເທິງ, ຕົວຕິດຕາມ 7vJLWzv5 ປາກົດ, ຊຶ່ງຫມາຍຄວາມວ່າ
ທັງສອງຄໍາຮ້ອງຂໍອາດຈະມາຈາກຜູ້ໃຊ້ດຽວກັນ (ບໍ່ໄດ້ພິສູດຢືນຢັນ). ກັບທີສາມ
ຂໍ້ຄວາມເຂົ້າສູ່ລະບົບ, ຜູ້ໃຊ້ໄດ້ຮັບການກວດສອບແລະບົບຕິດຕາມລຸດ 7vJLWzv5,wA/Pudyp3f0 ແມ່ນ
ໃຊ້. ເນື່ອງຈາກວ່າຕົວຕິດຕາມເຫຼົ່ານີ້ທັງຫມົດແບ່ງປັນຄໍານໍາຫນ້າດຽວກັນ, ສອງຄໍາຮ້ອງຂໍທໍາອິດ
ອາດຈະມາຈາກຜູ້ທີ່ພິສູດຢືນຢັນເປັນ DSS::HOME:bobo. ຄໍາຮ້ອງສະຫມັກສຸດທ້າຍ,
ສໍາລັບ /cgi-bin/dacs/dacs_current_credentials, ແນ່ນອນມາຈາກຜູ້ໃຊ້ນັ້ນ. ຖ້ານີ້
ຜູ້ໃຊ້ຕ້ອງໄດ້ອອກຈາກລະບົບແລະຫຼັງຈາກນັ້ນອອກຄໍາຮ້ອງສະຫມັກການບໍລິການເພີ່ມເຕີມທຸກບ່ອນໃນສະຫະພັນ
DSS, ແຕ່ລະຂໍ້ຄວາມບັນທຶກຈະມີຕົວຕິດຕາມ 7vJLWzv5.
ຄວາມປອດໄພ
ການຕິດຕາມການຮ້ອງຂໍຂອງຜູ້ໃຊ້ທີ່ບໍ່ເປີດເຜີຍຊື່ທີ່ຫນ້າເຊື່ອຖືແມ່ນຍາກທີ່ຈະເຮັດໄດ້ດີ. ກ
ວິທີການໃຊ້ຄຸກກີອາດຈະເຮັດໄດ້ດີກວ່າໃນບາງສະຖານະການແຕ່ມີຂໍ້ເສຍຂອງຕົນເອງ
(ເຊັ່ນວ່າບໍ່ມີປະສິດຕິພາບທັງໝົດເມື່ອຜູ້ໃຊ້ປິດການໃຊ້ງານຄຸກກີ).
ການຕິດຕາມ ຜູ້ໃຊ້ ກິດຈະກໍາ
DACs ປະກອບມີຄຸນສົມບັດ, ເປີດໃຫ້ໃຊ້ງານເປັນທາງເລືອກໃນການກໍ່ສ້າງ (ເບິ່ງ dacs.ຕິດຕັ້ງ(7)[48]), whereby
ອໍານາດຕັດສິນສາມາດຕິດຕາມກິດຈະກໍາຂອງຜູ້ໃຊ້ທັງຫມົດ (ເຊັ່ນ, ຜູ້ໃຊ້ເຫຼົ່ານັ້ນ
ກວດສອບຄວາມຖືກຕ້ອງໃນຂອບເຂດສິດ). ແຕ່ລະເຫດການການພິສູດຢືນຢັນທີ່ປະສົບຜົນສໍາເລັດ, ການອອກຈາກລະບົບຢ່າງຈະແຈ້ງ
ເຫດການ, ແລະເຫດການການຮ້ອງຂໍການບໍລິການເວັບໄຊຕ໌ທີ່ສົ່ງໂດຍຜູ້ໃຊ້ສາມາດຖືກບັນທຶກໄວ້ຢູ່ເຮືອນຂອງຜູ້ໃຊ້
ສິດອຳນາດໃນຮູບແບບທີ່ກຳນົດໂດຍ dacs_user_info.dtd[49]. ຂໍ້ມູນນີ້ສາມາດເປັນ
ທີ່ມີຄຸນຄ່າສໍາລັບການໄດ້ຮັບຄວາມເຂົ້າໃຈດີຂຶ້ນກ່ຽວກັບສິ່ງທີ່ເກີດຂຶ້ນໃນສະຫະພັນ,
ລວມທັງການຊ່ວຍເຫຼືອໃນການວິນິດໄສການປະຕິບັດແລະບັນຫາຄວາມປອດໄພ. ມັນເປັນພື້ນຖານຂອງລັກສະນະ
ເຊັ່ນ: ການສະແດງການເຄື່ອນໄຫວບັນຊີທີ່ຜ່ານມາ, ແລະມັນອາດຈະຖືກໃຊ້ເພື່ອສ້າງໃຫມ່
ຄວາມສາມາດ, ເຊັ່ນ: ຂີດຈຳກັດການເຂົ້າສູ່ລະບົບພ້ອມກັນ ຫຼືອົງປະກອບການຮັບຮອງການປັບຕົວເຂົ້າກັບ
ປະຕິບັດການພິສູດຢືນຢັນແບບຊັ້ນ ຫຼືການພິສູດຢືນຢັນທີ່ອີງໃສ່ຄວາມສ່ຽງ.
ເພື່ອລະບຸບ່ອນ ແລະວິທີການທີ່ອຳນາດການປົກຄອງບ້ານຄວນຮັກສາບັນທຶກເຫຼົ່ານີ້, user_info
ປະເພດລາຍການຕ້ອງຖືກກໍານົດຢູ່ໃນເຂດອຳນາດນັ້ນ; ຖ້າມັນບໍ່ຖືກກໍານົດ, ບໍ່ມີບັນທຶກໃດໆ
ລາຍລັກອັກສອນຢູ່ໃນສິດອໍານາດນັ້ນ, ເຖິງແມ່ນວ່າສິດອໍານາດຈະຍັງພະຍາຍາມທີ່ຈະສົ່ງເຫດການ
ການບັນທຶກການສິດອໍານາດອື່ນໆ. ເພື່ອປະໂຫຍດສູງສຸດ, ຄຸນສົມບັດຄວນຈະຖືກເປີດໃຊ້ທັງໝົດ
ສິດອໍານາດໃນສະຫະພັນນັບຕັ້ງແຕ່ກິດຈະກໍາຂອງຜູ້ໃຊ້ທັງຫມົດໃນທົ່ວສະຫະພັນສາມາດຫຼັງຈາກນັ້ນ
ຖືກບັນທຶກ.
ຖ້າເຂດປົກຄອງຕ້ອງການຕິດຕາມກວດກາກິດຈະກໍາຂອງຜູ້ໃຊ້ຂອງຕົນຢູ່ໃນເຂດອໍານາດສານອື່ນໆ, ມັນ
ຕ້ອງອະນຸຍາດໃຫ້ສິດອໍານາດເຫຼົ່ານີ້ເພື່ອຮຽກຮ້ອງໃຫ້ມັນ dacs_vfs(8)[50] ບໍລິການໂດຍການເພີ່ມ
ກົດລະບຽບການຄວບຄຸມການເຂົ້າເຖິງທີ່ເຫມາະສົມ.
ຄວາມປອດໄພ
ມັນເປັນສິ່ງ ສຳ ຄັນຫຼາຍ ສຳ ລັບກົດລະບຽບດັ່ງກ່າວທີ່ຈະຮຽກຮ້ອງໃຫ້ມີ dacs_admin()[51] ຄາດຄະເນ.
ຫມາຍເຫດ
·ທ dacs_admin(8)[52] ເຄື່ອງມືສະຫນອງການໂຕ້ຕອບກັບບັນທຶກເຫຼົ່ານີ້. ມັນຄວນ
ໃນທີ່ສຸດຈະໄດ້ຮັບການຂະຫຍາຍຕົວເພື່ອເກັບກໍາແລະການຈັດຕັ້ງການບັນທຶກການພົບເຫັນຢູ່ໃນອໍານາດທັງຫມົດ
ໃນສະຫະພັນເພື່ອອໍານວຍຄວາມສະດວກໃນການວິເຄາະ. ເນື່ອງຈາກວ່າພວກເຂົາເປັນໄຟລ໌ຂໍ້ຄວາມທີ່ມີ a
ຮູບແບບທີ່ຂ້ອນຂ້າງງ່າຍດາຍ, ຜູ້ບໍລິຫານບໍ່ຄວນພົບວ່າມັນຍາກທີ່ຈະສະຫມັກ
ເຄື່ອງມືການປຸງແຕ່ງຂໍ້ຄວາມທົ່ວໄປຫຼືຂຽນສັ້ນ, ໂຄງການທີ່ກໍານົດເອງສໍາລັບຈຸດປະສົງນີ້.
ຄໍາສັ່ງປຽບທຽບກັບ ສຸດທ້າຍ(1)[53], ຜູ້ທີ່(1)[54], ແລະ sa(8)[55] ກໍາລັງພິຈາລະນາ.
· ແຕ່ລະເຂດອຳນາດຄວນຂຽນບັນທຶກໃສ່ບ່ອນຂອງຕົນເອງ (ເຊັ່ນ: ເຂດອຳນາດ
ບໍ່ຄວນແບ່ງປັນວັດຖຸ VFS ດຽວກັນສໍາລັບ user_info).
· ຖານຂໍ້ມູນນີ້ຈະເຕີບໂຕຢ່າງບໍ່ມີກຳນົດ; ຜູ້ບໍລິຫານແມ່ນຮັບຜິດຊອບສໍາລັບການຫມຸນ
ຫຼືຕັດມັນ. ຖ້າຂໍ້ມູນທີ່ຜ່ານມາແລະມີການເຄື່ອນໄຫວແມ່ນສໍາຄັນ (ເບິ່ງ
dacs_current_credentials(8)[56]), prune ພຽງແຕ່ບັນທຶກການຮ້ອງຂໍ (ie, acs ໄດ້
ອົງປະກອບ). ວິທີການທີ່ຍອມຮັບໄດ້ອີກອັນຫນຶ່ງແມ່ນການຍົກເລີກ (ຫຼືເກັບ) ອັດຕາສ່ວນບາງຢ່າງ
ບັນທຶກເກົ່າ (ເວົ້າ, ເຄິ່ງຫນຶ່ງ) ແລະຮັກສາບາງບັນທຶກໃຫມ່ກວ່າ.
· ຮູບແບບຂໍ້ມູນອາດມີການປ່ຽນແປງ.
· ຄຳສັ່ງເພື່ອເປີດ ຫຼືປິດຄຸນສົມບັດນີ້ໃນເວລາແລ່ນອາດຈະຖືກເພີ່ມ.
· ເຫດການບໍລິຫານພາຍໃນບໍ່ໄດ້ຖືກບັນທຶກ.
·ເນື່ອງຈາກວ່າການອອກຈາກລະບົບ (ຜ່ານ dacs_signout(8)[57]) ເປັນທາງເລືອກ, ການສິ້ນສຸດຂອງກອງປະຊຸມ
ບາງຄັ້ງພຽງແຕ່ສາມາດ inferred ຫຼືປະມານຈາກການຫມົດອາຍຸຂອງຂໍ້ມູນປະຈໍາຕົວຫຼື
ເວລາຂອງເຫດການທີ່ບັນທຶກໄວ້ຄັ້ງສຸດທ້າຍ.
OPTIONS
DACs ໂປລແກລມແລະການບໍລິການເວັບໄດ້ຮັບຂໍ້ມູນການຕັ້ງຄ່າເວລາແລ່ນຂອງພວກເຂົາຫຼາຍໂດຍ
ອ່ານໄຟລ໌ການຕັ້ງຄ່າ ແລະກວດສອບຕົວແປສະພາບແວດລ້ອມ. ການຕັ້ງຄ່າບາງຢ່າງ
ຂໍ້ມູນສາມາດສະໜອງໃຫ້ໃນເວລາລວບລວມ. ທຸງບັນທັດຄໍາສັ່ງຫຼາຍອາດຈະຖືກນໍາໃຊ້ເພື່ອ
ລົບລ້າງພຶດຕິກຳເລີ່ມຕົ້ນ.
ຫມາຍເຫດ
·ທັງຫມົດ dacsoptions ທຸງຖືກປະມວນຜົນຈາກຊ້າຍຫາຂວາ ແລະຕ້ອງປາກົດກ່ອນອັນໃດນຶ່ງ
ທຸງ ຫຼື argument ສະເພາະຄໍາສັ່ງ. ທຸງທໍາອິດຫຼືການໂຕ້ຖຽງທີ່ບໍ່ແມ່ນ
ຮັບຮູ້ວ່າເປັນຫນຶ່ງໃນ dacsoptions ສິ້ນສຸດບັນຊີລາຍຊື່.
· ສໍາຄັນທີ່ສຸດ dacsoptions ແມ່ນຜູ້ທີ່ລະບຸສະຖານທີ່ຂອງ
ໄຟລ໌ການຕັ້ງຄ່າແລະກໍານົດພາກສ່ວນສິດອໍານາດທີ່ຈະນໍາໃຊ້ພາຍໃນ a
ໄຟລ໌ການຕັ້ງຄ່າ. ອີງຕາມໂຄງການແລະວິທີການທີ່ມັນຖືກນໍາໃຊ້, ການຕັ້ງຄ່າ
ຂໍ້ມູນອາດຈະບໍ່ຈໍາເປັນ, ອາດຈະເປັນທາງເລືອກ, ຫຼືອາດຈະຕ້ອງການ.
· ເກືອບໜຶ່ງໃນທຸງແຖວຄຳສັ່ງເພື່ອເລືອກພາກສ່ວນສິດອຳນາດສາມາດເປັນ
ລະບຸ. ອ້າງເຖິງ dacs.conf(5)[46] ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ
ໄຟລ໌ການຕັ້ງຄ່າແລະການປະມວນຜົນການຕັ້ງຄ່າ.
ຫຼາຍຄົນ DACs utilities ຮັບຮູ້ທາງເລືອກມາດຕະຖານດັ່ງຕໍ່ໄປນີ້, ເຊິ່ງເອີ້ນວ່າ
dacsoptions:
-c dacs.conf
ສິ່ງນີ້ບອກ DACs ບ່ອນທີ່ມັນສາມາດຊອກຫາໄຟລ໌ການຕັ້ງຄ່າສໍາລັບສິດອໍານາດຂອງໃຜ
ໃນນາມມັນແມ່ນການສະແດງ. ຖ້າການໂຕ້ຖຽງນີ້ບໍ່ມີ, ຂຶ້ນກັບວິທີການສ້າງ,
DACs ອາດຈະພະຍາຍາມໃຊ້ໄຟລ໌ທີ່ກໍານົດເວລາລວບລວມຫຼືມັນຈະພະຍາຍາມໃຊ້
ຄ່າຂອງສະພາບແວດລ້ອມປ່ຽນແປງ DACS_CONF[58]. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ ການຊອກຫາທີ່ຕັ້ງ
dacs.conf ແລະ site.conf[59]
-Dຊື່=ມູນຄ່າ
ຜົນກະທົບຂອງທຸງນີ້ແມ່ນເພື່ອກໍານົດຕົວແປ ຊື່ (ເຊິ່ງຈະຕ້ອງຖືກຕ້ອງຕາມ syntactically)
ໃນ DACs namespace ທີ່ຈະມີມູນຄ່າ ມູນຄ່າ. ວົງຢືມປະມານ ມູນຄ່າ ຖືກເກັບຮັກສາໄວ້,
ສະເພາະແກະຍັງບໍ່ທັນໄດ້ຖອດພວກເຂົາອອກ. ທຸງນີ້ອາດຈະຖືກຊ້ໍາອີກ. ເຫຼົ່ານີ້
ຕົວແປຕໍ່ມາສາມາດຖືກທົດສອບໃນລະຫວ່າງການປະມວນຜົນການຕັ້ງຄ່າແລະກົດລະບຽບ
ການປຸງແຕ່ງ; ຕົວຢ່າງ, ມູນຄ່າຂອງຄໍາສັ່ງການຕັ້ງຄ່າອາດຈະຂຶ້ນກັບ
ມູນຄ່າຂອງ a dacsoptions ທຸງ. ນິຍາມ ກ ຊື່ ທີ່ເກີດຂຶ້ນກັບ ກ
dacsoptions ທຸງບໍ່ມີຜົນຫຍັງນອກເໜືອໄປຈາກການສ້າງຕົວແປ.
ທັງຫມົດ dacsoptions ທຸງ (ຍົກເວັ້ນ ນີ້ ຫນຶ່ງ) ຖືກເພີ່ມເຂົ້າໄປໃນອັດຕະໂນມັດ DACs
namespace ຍ້ອນວ່າພວກມັນຖືກປຸງແຕ່ງ. ທຸງທີ່ເປັນ "ໂສດ" (ຕົວຢ່າງ: -q) ແມ່ນໃນເບື້ອງຕົ້ນ
ມອບໝາຍມູນຄ່າໜຶ່ງ ແລະຖືກເພີ່ມໃສ່ແຕ່ລະລັກສະນະຕໍ່ມາ. ທຸງຂອງ
ແບບຟອມ - ທຸງ ມູນຄ່າ ເທົ່າກັບ -D- ທຸງ=ມູນຄ່າ. ທຸງທີ່ບໍ່ໄດ້ໃຊ້ແມ່ນບໍ່ໄດ້ກໍານົດ; ຖ້າ -q
ບໍ່ໄດ້ໃຫ້, ${DACS::-q} ຈະບໍ່ຖືກກໍານົດ. ສໍາລັບທຸງເຫຼົ່ານັ້ນທີ່ມີຄໍາສັບຄ້າຍຄືກັນ, ກ
ຕົວແປສໍາລັບແຕ່ລະຄໍາສັບຄ້າຍຄືແມ່ນຖືກສ້າງຂຶ້ນ. ຖ້າ ຊື່ ຖືກນໍາໃຊ້ຢ່າງຊັດເຈນຫຼື implicitly,
ຄ່າຕໍ່ມາແທນຄ່າກ່ອນໜ້ານີ້.
ຍົກຕົວຢ່າງ, ຖ້າວ່າ dacsoptions ແມ່ນ:
-c www.example.com -v --verbose -Dfoo="baz" -ll debug -D-ll=trace
ຫຼັງຈາກນັ້ນ, ຕົວແປຈະຖືກກໍານົດດັ່ງຕໍ່ໄປນີ້:
${DACS::-c} ແມ່ນ "www.example.com"
${DACS::-v} ແມ່ນ "2"
${DACS::--verbose} ແມ່ນ "2"
${DACS::foo} ແມ່ນ "\"baz\""
${DACS::-ll} ແມ່ນ "trace"
ລະດັບການດີບັ໊ກຈະດີບັກແລະບໍ່ຕິດຕາມ.
--dumpenv
ພິມຕົວແປສະພາບແວດລ້ອມທັງໝົດເພື່ອ stdout ແລ້ວອອກທັນທີ.
--enable-dump
ໂດຍຕົວຢ່າງ, DACs ການບໍລິການເວັບໄຊຕ໌ແລະຄໍາສັ່ງສ່ວນໃຫຍ່ປິດການຜະລິດ dump ຫຼັກເປັນ a
ການລະມັດລະວັງຄວາມປອດໄພ. ເນື່ອງຈາກວ່າ dump ຫຼັກສາມາດເປັນປະໂຫຍດໃນເວລາທີ່ debugging, ທຸງນີ້
ອະນຸຍາດໃຫ້ມັນຖືກສ້າງຂຶ້ນ. ໃນຖານະເປັນບັນດາໂຄງການທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ຜະລິດ dump ຫຼັກຕ້ອງ
ປ່ຽນເປັນ DACS_HOME ໄດເລກະທໍລີ, dumps ຫຼັກຈະຖືກຂຽນຢູ່ທີ່ນັ້ນ. ໃຊ້ທຸງນີ້
ດ້ວຍຄວາມລະມັດລະວັງ.
- ຮູບແບບ fmt
ຮູບແບບຜົນຜະລິດໄດ້ຖືກກໍານົດເປັນ fmt, ເຊິ່ງແມ່ນຫນຶ່ງໃນຄໍາສໍາຄັນຕໍ່ໄປນີ້ (ກໍລະນີ
insensitive): file, html, json, php, plain, text, xml, xmldtd, xmlsimple, ຫຼື
xmlschema. ບໍ່ແມ່ນທຸກຮູບແບບຜົນຜະລິດທີ່ຮອງຮັບທຸກໂປຣແກຣມ. ທຸງນີ້ທັບຊ້ອນ
ໃດ ຮູບແບບ[60] ການໂຕ້ຖຽງກັບການບໍລິການເວັບ, ເຊິ່ງໃນທາງກັບກັນ overrides ຄ່າເລີ່ມຕົ້ນຂອງໂຄງການ
ຮູບແບບ. ຮູບແບບເລີ່ມຕົ້ນແມ່ນຂຶ້ນກັບໂຄງການສະເພາະ ແລະວິທີການທີ່ມັນຖືກເອີ້ນ.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ອ້າງອີງເຖິງ ຄໍາອະທິບາຍ of ໄດ້ ຮູບແບບ ການໂຕ້ຖຽງ [60].
-ll ລະດັບການບັນທຶກ
ລະດັບການຕັດໄມ້ຖືກຕັ້ງເປັນ ບັນທຶກລະດັບ, ເຊິ່ງແມ່ນຫນຶ່ງໃນຄໍາທີ່ຮັບຮູ້ໂດຍ
LOG_FILTER[61] ຄໍາສັ່ງ.
-- ໃບອະນຸຍາດ
ພິມໃບອະນຸຍາດສໍາລັບ DACs ເພື່ອ stdout ແລະຈາກນັ້ນອອກທັນທີ.
-q
ງຽບ. ອັນນີ້ເທົ່າກັບການກໍານົດລະດັບການຕັດໄມ້ເພື່ອເຕືອນ.
-sc site.conf
ສິ່ງນີ້ບອກ DACs ທີ່ມັນສາມາດຊອກຫາໄຟລ໌ການຕັ້ງຄ່າສໍາລັບສິດອໍານາດຂອງໃຜ
ໃນນາມມັນແມ່ນການສະແດງ. ຖ້າການໂຕ້ຖຽງນີ້ບໍ່ມີ, ຂຶ້ນກັບວິທີການສ້າງ,
DACs ອາດຈະພະຍາຍາມໃຊ້ໄຟລ໌ທີ່ກໍານົດເວລາລວບລວມຫຼືມັນຈະພະຍາຍາມໃຊ້
ຄ່າຂອງສະພາບແວດລ້ອມປ່ຽນແປງ DACS_CONF[58]. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ ການຊອກຫາທີ່ຕັ້ງ
dacs.conf ແລະ site.conf[59]
--std
ອັນນີ້ໝາຍເຖິງຈຸດສິ້ນສຸດຂອງການໂຕ້ຖຽງທົ່ວໄປ. ການໂຕ້ຖຽງແຖວຄໍາສັ່ງຕໍ່ໄປ, ຖ້າມີ, ແມ່ນ
ສະເພາະກັບໂຄງການ.
-t
ປ່ອຍຂໍ້ມູນການຕິດຕາມ. ນີ້ເທົ່າກັບການກໍານົດລະດັບການບັນທຶກເພື່ອຕິດຕາມ.
(ເບິ່ງຕື່ມ debug_dacs[62].
-u config-uri
ນີ້ສັ່ງ DACs ການນໍາໃຊ້ config-uri ເພື່ອເລືອກເອົາພາກສ່ວນສິດອໍານາດທີ່ຈະນໍາໃຊ້ໃນ
ໄຟລ໌ການຕັ້ງຄ່າ. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ ໄດ້ jurisdiction ສ່ວນ[63]
-uj jurisdiction-name
ນີ້ສັ່ງ DACs ການນໍາໃຊ້ຊື່ສິດອໍານາດ jurisdiction-name ເພື່ອຄັດເລືອກເອົາ
ພາກສ່ວນສິດອຳນາດທີ່ຈະໃຊ້ໃນໄຟລ໌ການຕັ້ງຄ່າ. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ ໄດ້
jurisdiction ສ່ວນ[63]
-ກ
ນີ້ສັ່ງ DACs ບໍ່ໃຫ້ປະມວນຜົນ site.conf ຫຼື dacs.conf. ອັນນີ້ອາດຈະໃຊ້ກັບ
ຈໍານວນຄໍາສັ່ງຈໍານວນຫນ້ອຍ, ເຊັ່ນ: dacsacl(1)[64] ແລະ sslclient(1)[4]
-ຂຶ້ນ jurisdiction-name
ບໍ່ໄດ້ປະຕິບັດ. ນີ້ສັ່ງ DACs ການນໍາໃຊ້ຊື່ສິດອໍານາດ jurisdiction-name to
ເລືອກພາກສ່ວນສິດອຳນາດທີ່ຈະໃຊ້ໃນໄຟລ໌ການຕັ້ງຄ່າ ແລະບອກມັນວ່າ
ເຊີບເວີເວັບແມ່ນເຮັດໜ້າທີ່ເປັນຕົວແທນສົ່ງຕໍ່; ນັ້ນແມ່ນ, jurisdiction-name ບໍ່
ຈໍາເປັນຕ້ອງ "ເປັນເຈົ້າຂອງ" URL ທີ່ຮ້ອງຂໍ. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ ໄດ້ jurisdiction
ສ່ວນ[63]
-ພວກເຮົາ
ນີ້ສັ່ງ DACs ເພື່ອນໍາໃຊ້ພາກສ່ວນສິດອໍານາດອັນດຽວທີ່ປາກົດຢູ່ໃນ
ໄຟລ໌ການຕັ້ງຄ່າ. ນັ້ນແມ່ນ, ໄຟລ໌ການຕັ້ງຄ່າຕ້ອງມີອັນແນ່ນອນ
ພາກສ່ວນສິດອຳນາດ ແລະນັ້ນແມ່ນພາກສ່ວນທີ່ຄວນນຳໃຊ້. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ
ໄດ້ jurisdiction ສ່ວນ[63]
-v
-- verbose
ມີ verbose ຫຼາຍ, ທຽບກັບລະດັບການຕັດໄມ້ໃນປະຈຸບັນ. ທຸງນີ້ອາດຈະຖືກຊ້ໍາອີກ.
- ການປ່ຽນແປງ
ພິມຂໍ້ມູນສະບັບເພື່ອ stderr ທັນທີແລະຫຼັງຈາກນັ້ນອອກ. ຖ້າ -v ປາກົດຂຶ້ນກ່ອນຫນ້ານີ້
ໃນເສັ້ນຄໍາສັ່ງ, ຍັງພິມຂໍ້ມູນສະບັບສໍາລັບແຕ່ລະຄົນ DACs ໄຟລ໌ລະຫັດແຫຼ່ງໃນ
ໂຄງການນີ້.
ຫມາຍເຫດ
ຂໍ້ມູນສະບັບສົມບູນສາມາດໃຊ້ໄດ້ກັບໂຄງການທີ່ເຊື່ອມຕໍ່ແບບຄົງທີ່ເທົ່ານັ້ນ.
ເບິ່ງຍັງເບິ່ງ dacsversion(1)[65] ແລະ dacs_version(8)[66]
ເຄັດລັບ
ຖ້າບໍ່ມີທຸງເສັ້ນຄໍາສັ່ງຖືກມອບໃຫ້ເພື່ອລະບຸພາກສ່ວນສິດອໍານາດ, ຄ່າຂອງ
ຕົວແປສິ່ງແວດລ້ອມ DEFAULT_JURISDICTION ຈະຖືກນໍາໃຊ້ເປັນຖ້າຫາກວ່າໃຫ້ກັບ -uj ທຸງ.
ນີ້ສາມາດເປັນປະໂຫຍດໂດຍສະເພາະໃນເວລາທີ່ເຈົ້າພາບມີພຽງແຕ່ຫນຶ່ງ jurisdiction configured
ເນື່ອງຈາກວ່າມັນເຮັດໃຫ້ມັນບໍ່ຈໍາເປັນທີ່ຈະລະບຸສິດອໍານາດສໍາລັບການສະເຫມີ DACs ຄຳ ສັ່ງ.
ENVIRONMENT
SERVER_NAME, SERVER_PORT, REQUEST_URI
ອາດຈະຖືກນໍາໃຊ້ເພື່ອກໍານົດຂອບເຂດສິດອໍານາດ.
ໃຊ້ dacs ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
