Acesta este comanda dacs care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
dacs - un sistem distribuit de control al accesului
REZUMAT
dacs [-v | --verbos] [--dumpenv] [--licență] [--versiune]
dacs dacs-comanda [dacsoptions[1]] [...]
dacs-comanda [-u uri-prefix | -uj jurisdictie-nume | -A | -sus jurisdictie-nume | -ne]
[-c dacs.conf]
[-sc site.conf] [-ll nivel de înregistrare] [-format fmt] [-q] [-t] [-Dnume=valoare]
[-v | --verbos] [--dumpenv] [--enable-dump] [--licență] [--std] [--versiune]
DESCRIERE
Acest program face parte din DACS pe.
DACS este un sistem de autentificare și control acces, bazat pe web, de uz general. Oferă
funcționalitate de conectare unică și control flexibil al accesului la conținutul și serviciile furnizate
de serverele web. DACS constă dintr-un Apache modul (mod_auth_dacs[2]) prin care Apache
comunică cu DACS pentru a lua decizii de control al accesului, o suită de programe CGI care
furniza DACS servicii web și o colecție de comenzi utilitare care oferă diverse
suport si functii administrative pentru DACS. Unele dintre aceste utilități, cum ar fi
dacshttp(1)[3] și sslclient(1)[4], sunt complet de uz general.
DACS motorul de control al accesului și componentele de autentificare pot fi utilizate și din
linie de comandă, într-un mediu CGI sau complet independent de Web.
Pentru informații importante despre DACS, inclusiv instrucțiunile de instalare, consultați
dacs.readme(7)[5] și dacs.install(7)[6].
Despre DACS
NU GARANȚIE
Acest software este furnizat de Dss „ca atare” și orice garanții exprese sau implicite,
inclusiv, dar fără a se limita la, garanțiile implicite de vandabilitate, potrivire pentru
un anumit scop, sau non-încălcare, sunt respinse. În niciun caz Dss nu va fi
răspunzător pentru orice direct, indirect, incidental, special, exemplar sau în consecință
daune (inclusiv, dar fără a se limita la, achiziționarea de bunuri sau servicii de substituție;
pierderea utilizării, a datelor sau a profiturilor; sau întreruperea activității) oricum cauzat și pe oricare
teoria răspunderii, indiferent dacă este în contract, răspundere strictă sau delictuală (inclusiv
neglijență sau altfel) care decurg în orice mod din utilizarea acestui software, chiar dacă
informat cu privire la posibilitatea unei astfel de daune.
Prin convenție, numele tuturor DACS serviciile web încep cu prefixul „dacs_” (de exemplu,
dacs_conf). Începând cu versiunea 1.4.17, toate comenzile care le implementează DACS funcționalitate
începe cu prefixul „dacs” (de exemplu, dacsconf). Mulți DACS serviciile web au comandă
analogi. Numele serviciilor web care sunt utilizate intern de DACS (adică ei sunt
apelat niciodată direct de către utilizatori) începe cu „local_” (de exemplu, local_passwd_authenticate).
Serviciile și comenzile web de uz general nu respectă o convenție de denumire, în afară de
nefolosind niciunul dintre prefixele menționate anterior.
Sunt utilizate definițiile tipului de document (DTD) care sunt menținute în directorul dtd-xsd
pentru a documenta formatele de fișiere sau a descrie argumentele pentru a DACS serviciul web sau răspunsul acestuia. În
implementarea curentă, aceste fișiere DTD nu sunt utilizate în timpul validării XML. Atribute
de tip CDATA pot avea constrângeri suplimentare asupra valorilor lor; consultați cel relevant
documentație. Fișierele nu sunt DTD-uri valide din punct de vedere tehnic, deoarece le lipsește un tip de document
declarație (DOCTYPE); un DOCTYPE adecvat este generat programatic la momentul a
DTD este emis.
Important
DACS nu previne anumite tipuri de atacuri împotriva site-urilor web, cum ar fi Negare of
serviciu Atacurile[7], Cross-site Scripting (XSS)[8] sau Cross-site solicita fals
(CSRF)[9]. Cu toate acestea, atunci când sunt combinate cu măsuri de protecție adecvate pentru site-ul web, DACS
oferă mecanisme pentru a face aceste tipuri de atacuri mai dificile.
Despre il Manual pagini
Documentatia tehnica pt DACS constă dintr-un set de pagini de manual. În HTML
colecție, an index pagină[10] include un cuprins, link-uri către adnotări speciale
în documentația tehnică și liste de variabile, directive de configurare și
Definiții tip document XML.
Vârf
Fiecare pagină manuală HTML conține un instrument de selectare a mărimii fontului în partea de jos. Dacă
JavaScript este activat, dimensiunea fontului selectată curent poate fi modificată și poate fi globală
set de preferințe. Pentru a alege o dimensiune de font pentru pagina curentă, faceți clic pe una dintre cele patru
cutii. Pentru a face din selecția curentă preferința dvs. în paginile manuale, vizite pe site,
și sesiuni de browser, faceți clic pe butonul „set”, care va seta un cookie HTTP. În cazul în care o
preferința nu a fost setată în acest fel (adică, nu există cookie) și o pagină de manual
este vizitat cu parametrul de interogare DACSMANFONT setată la 0, 1, 2 sau 3 (reprezentând
dimensiunea punctului de la cea mai mică până la cea mai mare), se va selecta fontul corespunzător și
preferința setată automat (dacă a fost setată o preferință, parametrul este ignorat).
Zonele documentației etichetate „Securitate” discută considerente importante de securitate;
vă rog să le acordați o atenție deosebită. Zonele etichetate „Sfat” oferă indicații pentru economisirea timpului
(și uneori de reducere a agravării) tehnici și practici recomandate.
În căile și adresele URL care apar în exemple, textul „...” reprezintă textul care are
a fost omis deoarece nu este relevant pentru discuția în cauză sau care poate varia
în funcție de detaliile de configurare, cum ar fi locul unde a fost instalat ceva (de exemplu,
.../dacs/bin/dacshttp).
Dacă nu se specifică altfel, adresele URL utilizate în exemple sunt fictive și cel mai probabil nu
muncă. Numele de domeniu rezervat example.com este adesea folosit (RFC 2606[11]).
În instrucțiuni și exemple, un „%” este în general folosit pentru a semnifica o linie de comandă promptă:
% Data
Duminica 1 apr 15:33:11 PDT 2007
Uneori, un alt caracter este folosit pentru a semnifica o solicitare, cum ar fi când
demonstrând modul interactiv al dacsexpr(1)[12]:
> 1 + 1
2
O formă extinsă de BNF notaţie[13] este folosit pentru a descrie concis sintaxa. Sperăm să fie
atât de înțeles, cât și familiar, dar pot apărea unele inconsecvențe și ambiguități
pe parcursul documentației; acest lucru se îmbunătățește încet. Un termen dintr-o producție poate
include o specificație de tip expresie regulată, cu „+” însemnând una sau mai multe apariții
a termenului și „*” zero sau mai multe apariții. Este specificat oricare dintr-un set de caractere
între paranteze drepte și o serie de caractere consecutive (în secvența de cod ASCII).
separate printr-o cratimă (de exemplu, [A-Za-z0-9\-_]+ înseamnă „unul sau mai multe caractere alfabetice,
cifre, cratime sau caractere de subliniere"). În alte contexte, parantezele pătrate indică o opțiune
termen. Ghilimele simple și duble specifică caractere literale. Rețineți că DTD-urile XML le folosesc
propria sintaxă, care este oarecum diferită, iar în unele cazuri gramaticile urmate în relevanță
RFC-urile sunt respectate pentru claritate sau în exemple.
Cheie concepte
Unele dintre conceptele cheie utilizate pe parcursul DACS documentația sunt definite în aceasta
secţiune.
cont
O înregistrare persistentă care asociază o identitate (sau un nume de utilizator) cu informații de stat
despre cont (cum ar fi dacă contul este activat sau dezactivat), informații
care este necesar pentru autentificarea identității (cum ar fi un rezumat al unui șir de parolă),
și, eventual, alte informații legate de conectare. Rețineți că DACS identitățile nu
să aibă neapărat un cont corespunzător. DACS nu oferă mecanisme pentru
administrarea tipurilor de conturi „străine”; de exemplu, deși se poate autentifica împotriva
nu poate crea sau lista conturi Unix sau Windows.
autentificare
Procedura prin care o persoană sau un program obține acreditări care reprezintă a DACS
identitate, de obicei prin afirmarea a DACS nume de utilizator care reprezintă o identitate și
furnizarea de informații pe care numai acea identitate este probabil să le cunoască sau să le posede. După
autentificare cu succes, se spune că o persoană sau un program s-a autentificat. DACS
poate interfața cu o mare varietate de metode de autentificare și oferă unele dintre ele
proprii; noi metode pot fi adăugate cu ușurință.
autorizare
Procedura care determină, într-un anumit context, dacă o cerere pentru un anumit
resursa sau obiectul ar trebui permise. Dacă o identitate este autorizată să efectueze a
anumită operațiune asupra obiectului, accesul este acordat, în caz contrar este refuzat. Acces
regulile de control sunt o metodă de a descrie identitatea sau identitățile ar trebui să fie
a acordat - sau refuzat - accesul la o anumită resursă. Control de acces grosier
implică luarea unei decizii la nivel înalt dacă accesul la un obiect ar trebui să fie
acordat; aceasta este de obicei o decizie cu totul sau nimic. Controlul de acces fin este
utilizat în cadrul unui program pentru a decide dacă accesul la o resursă de nivel inferior (unele date,
o funcție administrativă, un meniu) ar trebui acordate.
Rețineți că, spre deosebire de unele sisteme, DACS nu predetermina ce resurse anume
utilizatorul (identitatea) poate și nu poate accesa; adică un administrator nu face o listă
ce drepturi are fiecare utilizator. Autorizarea este întotdeauna determinată de evaluarea regulilor,
în timp real, atunci când un utilizator solicită o resursă. Singurele scutiri de la aceasta sunt unele
caracteristici opționale: Autorizare Caching[14] și Rlinkuri[15].
scrisori de acreditare
If autentificare este de succes, DACS returnează informații care pot fi utilizate în
operațiunile ulterioare pentru a reprezenta identitatea autentificată. Acreditările conțin
informații despre identitate, cum ar fi numele acesteia, și meta informații, cum ar fi
momentul la care acreditările expiră și devin invalide. Acreditările sunt protejate
criptografic astfel încât să fie greu de falsificat sau modificat. Ele trebuie păstrate
secret, astfel încât identitatea să nu poată fi folosită de altcineva decât proprietarul ei, și trebuie
însoțește o solicitare făcută unui server astfel încât DACS știe cine face cererea. The
mecanismul special utilizat pentru aceasta nu este important cu condiția ca acreditările să nu fie
copiat și reutilizat; transportarea acreditărilor utilizând încărcarea utilă a unui cookie HTTP
o conexiune SSL este tipică, deși trimiterea de acreditări ca valoare a unui HTTP
antetul extensiei este o altă posibilitate.
Deși nu există o limită specifică a mărimii acreditărilor în măsura în care DACS is
în cauză, deoarece acestea pot fi încapsulate într-un cookie HTTP și returnate la a
browser, constrângerile privind cookie-urile impuse de browsere ar trebui luate în considerare cu atenție.
Orice jurisdicție poate înțelege acreditările produse de orice altă jurisdicție din cadrul acesteia
aceeași federație. Prin urmare, un utilizator trebuie să fie autentificat o singură dată pentru a accesa
servicii web în orice jurisdicție care utilizează acea identitate.
Rețineți că în DACS, acreditările nu îi conferă proprietarului niciun drept sau nu transmit niciunul
autorizare; DACS nu este un bazat pe capacitate sistem[16]. Acreditările reprezintă pur și simplu
a DACS identitate.
A se referi la dacs_authenticate(8)[17] pentru detalii.
curent solicita
Evenimentul care a declanșat verificarea autorizației fiind procesat de
dacs_acs(8)[18] este denumită cererea curentă. Pentru o cerere de a
DACS-resursa web wrapped, aceasta va fi cererea HTTP primită de web
server pentru resursă. În situaţiile în care dacs_acs nu este implicat, cum ar fi când
dacscheck(1)[19] sau dacsexpr(1)[12] sunt utilizate, cererea curentă și contextul acesteia sunt
specificate de argumentele liniei de comandă sau sunt obținute din execuție
mediu inconjurator[20].
dacs_acs utilizări ${DACS::URI} ca componentă de cale a cererii curente. Este
obtinut de la Apache's uri element al cererii_rec curente. Acesta este șirul care
este folosit pentru a se potrivi cu regulile de control al accesului.
Altele DACS componentele determină cererea HTTP curentă examinând mai multe
variabile de mediu: HTTP_HOST (Sau SERVER_NAME si SERVER_PORT), REQUEST_URI,
ȘIR DE INTEROGARE și HTTPS.
Valoarea a ${DACS::URI} iar componenta de cale a ${Env::REQUEST_URI} nu sunt
neapărat la fel. După o redirecționare internă, de exemplu, valoarea acesteia din urmă este
de la URL-ul original, în timp ce primul este de la ținta redirecționării.
Șirul de solicitare curent este important deoarece poate fi folosit pentru a determina
curent federaţie[21] și curent competență[22], iar pentru că este folosit când
căutarea regulii de control al accesului care să se aplice cererii.
DACS
Constând din servicii web bazate pe CGI, an Apache 2.0/2.2 și o colecție de
utilități, DACS oferă funcționalitate de autentificare și autorizare. Transparent,
controlul accesului bazat pe roluri grosier este disponibil pentru resursele web.
Controlul accesului programatic, cu scop general, bazat pe roluri, este disponibil practic pentru oricine
program (folosind dacscheck(1)[19]). Acesta este complet decuplat de Apache.
DACS administrator
O persoană (sau persoane fizice) responsabile cu gestionarea operațiunii DACS is
a numit a DACS administrator (uneori doar „administratorul”). Acest individ este
nu neapărat un administrator de sistem (de exemplu, superutilizator sau root), deși un mic
numărul de componente opționale ale DACS trebuie să se execute ca utilizator sau rădăcină de grup. The DACS
administratorul nu trebuie să fie un Apache administrator; o singura data Apache a fost configurat pentru
DACS de obicei necesită foarte puține modificări după aceea. The DACS administrator
este responsabil pentru configurare și testare DACS (probabil instalarea și actualizarea acestuia,
de asemenea), gestionarea conturilor de utilizator și a regulilor de control al accesului, protejarea securității, suport
configurarea și fișierele de date și așa mai departe. Designul de DACS permite o anumită delegare
de responsabilitate, bazată în mare parte pe permisiunile fișierelor. Când este invocat ca serviciu web,
fiecare dintre identitățile configurate ca a ADMIN_IDENTITY[23] este efectiv a DACS
administrator; în acest context, superutilizatorul de sistem nu are nicio semnificație.
DACS identitate
Fiecărui utilizator autentificat i se atribuie un nume care constă din numele utilizatorului
jurisdicția de autentificare, numele federației sale și un nume de utilizator. Fiecare dintre aceste denumiri
componentele trebuie să fie corecte din punct de vedere sintactic. În unele contexte, numele federației este
implicit; uneori denumirea jurisdicţiei este implicită. Entități precum
indivizi (oameni, dar și programe, dispozitive etc.), federații, jurisdicții,
iar grupurile au nume. Este responsabilitatea jurisdicțiilor să se autentifice
utilizatorii. Sintaxa, semnificațiile și unicitatea numelor este, de asemenea, o problemă de jurisdicție,
și poate o problemă la nivelul întregii federații.
Fiecare entitate din lumea reală are de obicei un unic DACS identitate, dar acest lucru este lăsat la latitudinea
autentificarea jurisdicţiilor. Două sau mai multe identități sunt distincte dacă nu se referă
la același individ din lumea reală. Identitatea federată sau înregistrarea unică (SSO) este
capacitatea de a recunoaște o identitate de utilizator în diferite jurisdicții și chiar între federații.
Important
Rețineți că, indiferent de metoda de autentificare și de informațiile contului
utilizate, două nume de utilizator identice (relativ la aceeași jurisdicție și luând în considerare
cont NAME_COMPARE[24]) sunt implicit asumat la trimite la il acelaşi identitate by
DACS. De exemplu, cineva care s-a autentificat ca auggie furnizând corect
Parola Unix este practic imposibil de distins de cineva care s-a autentificat ca
Auggie folosind un card de informații. Acreditările utilizatorului includ informații despre
metoda de autentificare implicată în crearea lor și utilizator()[25] funcția poate
poate fi folosit pentru a obține aceste informații, dar nu ar fi înțelept să se bazeze identitățile pe
acest. Se recomandă insistent ca un nou DACS jurisdicţia dezvoltă cu atenţie an
plan extensibil pentru denumirea utilizatorilor.
DACS-înfășurat
Se spune că o resursă web este DACS-înfășurat dacă serverul web responsabil pentru
apeluri de resurse DACS (mai exact, dacs_acs(8)[18]) pentru a face un control acces
decizie ori de câte ori primește o cerere pentru resursă.
federaţie
A DACS federația este formată din una sau mai multe jurisdicții. Jurisdicțiile cuprinzând
o federație coordonează schimbul de informații prin practici de afaceri ușoare
implementat ca o cerință de apartenență la a DACS federaţie; cu alte cuvinte, the
membrii unei federații sunt de obicei de acord să respecte anumite reguli de conduită pentru
păstrează securitatea generală și astfel încât utilizatorii să poată obține beneficii maxime. O federație
constând dintr-o singură jurisdicție nu este neobișnuit.
articol tip
Un tip de element este un nume care se mapează la a VFS[26] (magazin de fișiere virtual) specificație care
configurează cum și unde sunt stocate datele. Nivelul de indirectă pe care îl oferă
înseamnă că regulile de control al accesului, de exemplu, pot fi configurate pentru a fi în mod obișnuit
fișiere, o bază de date Berkeley DB, o bază de date la distanță accesată prin HTTP și așa mai departe - toate
ceea ce este necesar este ca tipul de element acls să fie configurat corespunzător. Unele tipuri de articole
(ca acls) sunt rezervate și au o semnificație specială DACS, în timp ce altele pot fi folosite de
a DACS administrator în alte scopuri. Numele unui tip de articol face distincție între majuscule și minuscule și
constă din cifre alfanumerice, cratime și liniuțe de subliniere, dar trebuie să înceapă cu un alfabet
caracter.
competență
A DACS jurisdicția este o entitate administrativă autonomă care își autentifică
utilizatorilor, furnizează servicii web sau ambele. Poate corespunde unei organizații,
departament, server web sau gazdă virtuală. Jurisdicțiile sunt uneori create pur și simplu ca
o comoditate administrativă. Fiecărei jurisdicții i se atribuie un nume unic în cadrul unui
federaţie.
Jurisdicția de origine a unui utilizator este o jurisdicție care poate autentifica acel utilizator. În
situații în care un utilizator are mai multe acreditări obținute de la diferite
jurisdicții, jurisdicția de origine efectivă pentru o cerere depinde de care
acreditările sunt selectate în timpul procesării autorizației. Directivele de configurare sunt
disponibil pentru a restricționa numărul de seturi de acreditări care pot însoți o solicitare.
utilizator agent
Un agent de utilizator este un software la nivelul clientului care interacționează cu alt software (un server
aplicație, de obicei) în numele unui utilizator. Un utilizator este adesea o persoană, dar poate fi și
software. Un browser web, care este folosit pentru a interacționa cu un server web, este un exemplu
un agent utilizator.
Denumire
DACS trebuie să numească o varietate de lucruri, astfel încât să poată fi menționate în expresii,
reguli de control al accesului, directive de configurare și așa mai departe. În timp ce sintaxa URI este folosită pentru
numiți anumite tipuri de obiecte din interior DACS, DACS are, de asemenea, propriile scheme de denumire concise.
notițe
Termenii federație actuală (jurisdicția actuală) și această federație (acest
jurisdicție) sunt utilizate în documentație pentru a se referi la federație (jurisdicție)
asociat cu contextul de configurare în vigoare în timp ce DACS procesează o cerere.
În general, nume-federație componenta unui nume este opțională; dacă lipsește,
se presupune federaţia actuală. În mod similar, cel jurisdictie-nume poate fi elid și cel
jurisdicția actuală este implicită.
Federații
Sintaxă:
nume-federație::
Exemplu:
DEMO::
nume-federație (obținut de obicei de la a FEDERATION_NAME[27] configurație
directivă) trebuie să înceapă cu un caracter alfabetic și este urmat de zero sau mai mult
alfanumerice, cratime și caractere de subliniere. A nume-federație este cazul tratat de obicei
sensibil (dar vezi NAME_COMPARE[24] directiva de configurare și utilizator()[25]
funcția pentru comportamente alternative). Nu este a apriori limita lungimii sale.
FEDERATION_DOMAINDirectiva [28] specifică sufixul numelui de domeniu comun tuturor
jurisdicții dintr-o federație.
jurisdicţii
Sintaxă:
[[nume-federație:: | [::]] jurisdictie-nume:
Exemple:
DEMO::DSS:
::DSS:
DSS:
jurisdictie-nume (obținut de obicei de la a JURISDICTION_NAME[29] configurație
directivă) trebuie să înceapă cu un caracter alfabetic și este urmat de zero sau mai mult
alfanumerice, cratime și caractere de subliniere. A jurisdictie-nume este tratat de obicei
ținând cont de majuscule și minuscule (dar vezi NAME_COMPARE[24] directiva de configurare și
utilizator()[25] funcția pentru comportamente alternative). Nu este a apriori limita asupra acestuia
lungime.
Utilizatori
Sintaxă:
[[nume-federație:: | [::]] jurisdictie-nume]:nume de utilizator
Exemple:
DEMO::DSS:auggie
::DSS:auggie
DSS: Auggie
:auggie
Un plin DACS identitatea include o componentă de nume de federație și un nume de jurisdicție
componentă, pe lângă nume de utilizator. Este furnizat către DACS-programe împachetate ca
valoarea DACS_IDENTITY[30] variabilă de mediu.
Componenta nume de utilizator, care este disponibilă pentru programele CGI ca valoare a
DACS_USERNAME[31] variabilă de mediu, constă din unul sau mai multe caractere ASCII din
setul de litere alfabetice mari și mici, cifre și semnele de punctuație următoare
de caractere:
! # $ % & ' - . ; ? @ [ ^ _ ` { }
Toate caracterele care au o valoare mai mică de 041 (octal) sau mai mare de 0176 (octal) sunt
invalid, la fel ca următoarele personaje:
* , : + ( ) ~ < > = | \/"
notițe
· Pe lângă caracterele alfanumerice, RFC 2396[32] permite numai
următoarele personaje ("pchar") să apară în componenta cale a unui URI:
- _ . ! ~ * ' ( ) % : @ & = + $ ,
· Unele adrese de e-mail valide nu sunt valide DACS nume de utilizator. De exemplu,
*bob*@example.com, „(bob)”@example.com și \(bob\)@example.com sunt valide
numele cutiei poștale așa cum sunt definite de RFC 822[33] (Anexa D) și discutat în RFC
3696[34] (Secțiunea 3), dar ambele sunt invalide ca DACS nume de utilizator. Dacă nu este citat,
componenta locală a unei adrese de e-mail, care precede caracterul „@”.
în addr-spec, nu poate conține niciunul dintre:
( ) < > @ , ; : \ " . [ ]
În plus, spațiul și toate caracterele de control US-ASCII (octete 0 - 31)
și DEL (127) sunt interzise. Fără ghilimele, partea locală poate consta din
orice combinație de caractere alfabetice, cifre sau oricare dintre următoarele caractere:
! # $ % & ' * + - / = ? ^ _ ` . { | } ~
Se poate folosi un punct ("."), dar nu poate începe sau încheia partea locală, nici nu poate
apar două sau mai multe perioade consecutive. Între ghilimele duble, orice ASCII
caracterul poate apărea dacă este citat corect (de exemplu, Auggie."
".O."\'".[e-mail protejat]). Lungimea maximă a părții locale este de 64
caractere și lungimea maximă a componentei de domeniu care apare după
caracterul „@” are 255 de caractere.
În prezent, nu există nicio modalitate de a „cota” a DACS nume de utilizator, deci o codificare sigură
acestor nume trebuie aplicate metoda sau transformarea.
· DACS poate crea identități pentru uz intern având componente de nume de utilizator care
include caractere care sunt în mod normal invalide.
· ARE nume de utilizator este sensibil la majuscule (dar vezi NAME_COMPARE[24] configurație
directivă și cel utilizator()[25] funcția pentru comportamente alternative). Nu este a
apriori limita lungimii sale.
· Practica recomandată este ca jurisdicțiile să își cartografieze DACS nume de utilizator la
litere mici în timpul procedurii de autentificare acolo unde este posibil și când
mapările sunt unice. The IEȘIRE*Directiva [35] poate fi utilizată în acest scop.
grupuri
Sintaxă:
[[nume-federație:: | [::]] %[jurisdictie-nume]:numele Grupului
A numele Grupului trebuie să înceapă cu un caracter alfabetic și poate fi urmat de orice număr
de caractere alfanumerice, cratime ("-") și caractere de subliniere ("_").
Exemple:
%DEMO::DSS:prieteni
%::DSS:prieteni
%DSS:prieteni
%:prieteni
Roluri și descriptori de rol
Sintaxă:
Rol-Descriptor -> Șir gol | Lista de roluri
Lista de roluri -> Rol | Rol "" Lista de roluri
Rol -> Rol de bază | Compozit-Rol
Rol de bază -> [A-Za-z0-9\-_]+
Compozit-Rol -> Rol de bază "/" Rol de bază | Rol de bază "/" Compozit-Rol
Șir gol -> ""
Un șir de descriptor de rol (numit și șir de rol sau descriptor de rol) este format din
o listă de roluri separate prin virgulă. Numele unui rol (a Rol de bază) este construit din
litere mari și mici, cifre, cratime și litere de subliniere. A Compozit-Rol is
construit din două sau mai multe Rol de bază termeni, despărțiți de un caracter oblic. Aici
sunt trei exemple de descriptor de rol:
admin, roată, rădăcină
admin/hardware
rețele/programare,informatică/sisteme/Proiect_X
notițe
Un șir de descriptor de rol nu conține caractere de spațiu alb și poate să nu înceapă sau
se încheie cu o virgulă sau un caracter oblic. Două sau mai multe virgule consecutive sunt ilegale,
la fel ca două sau mai multe bare oblice consecutive.
setvar()Funcția [36] poate fi folosită pentru a separa un rol compus în rolul său de bază
roluri.
Va rog, referiti-va la dacs.grupuri(5)[37] pentru informații suplimentare.
Sintaxă concisă a utilizatorului
Sintaxă:
identitate -> '{' kwv-list '}' | utilizator
kwv-list -> kwv [',' kwv]*
kwv -> utilizator kwv | kwv-grup | kwv-attr | kwv-ip | kwv-expiră
utilizator kwv -> 'u=' [Q] utilizator [Q]
kwv-grup -> 'g=' [Q] Grupuri [Q]
kwv-attr -> 'a=' [Q] attr [Q]
kwv-expiră -> 'e=' [Q] expiră [Q]
kwv-ip -> 'ip=' [Q] ip-adr [Q]
utilizator -> nume-simplu | DACS-identitate
Grupuri -> grup [',' grup]*
grup -> numele Grupului | descriptor de rol
attr -> orice-alfabetic
ip-adr -> orice-adresă-IP
expiră -> +rel-secs | data
în cazul în care:
· Q este un caracter opțional (potrivit) ghilimele;
· spațiile albe pot precedă opțional majoritatea jetoanelor;
· A DACS-identitate este complet sau prescurtat DACS identitate[38]
· A nume-simplu este nume de utilizator componentă a unui DACS identitate (adică fără niciun
colon); în consecință, în acest context, este tratată o denumire „specială”, precum auth
ca :auth
· descriptor de rol trebuie să fie un valid DACS șir de rol și numele Grupului trebuie să fie un valid
DACS numele grupului (vezi dacs_authenticate(8)[39] și dacs.grupuri(5)[40]);
· o adresă IP este exprimată în notația cu puncte numerice standard de Internet (de exemplu,
10.0.0.1); și
· durata de viață a acreditărilor derivate din identitate poate fi exprimată fie ca: a
un anumit număr de secunde (de exemplu, „e=+3600”) sau o dată dată într-una dintre următoarele
formate (vezi strptime(3)[41]):
%a, %d-%b-%Y %H:%M:%S GMT
%d-%b-%Y
%b %d, %Y
%b %d
%Y-%m-%dT%H:%M:%SZ
Când este necesar, datele sunt interpretate în raport cu ora sau data curentă. The
durata de viață este convertită în forma sa canonică, care este ora și data absolute
în câteva secunde de la Epocă, pe baza ceasului jurisdicției. O întâlnire din trecut
poate fi specificat; acest lucru ar putea fi util pentru testare, de exemplu. Dacă identitatea
nu este folosit pentru a crea acreditări, data de expirare este ignorată, deși trebuie să fie
corect din punct de vedere sintactic.
· singura valoare de atribut acceptată este „a”, ceea ce înseamnă că identitatea ar trebui să fie
tratat ca un ADMIN_IDENTITY[23] (consultați -admin steagul de dacscheck(1)[19]).
Un nume exprimat într-o sintaxă concisă, oferă un nume de utilizator și, opțional, roluri și
atribute pentru identitate. Este folosit de dacscheck(1)[19], de exemplu.
dacs Utilitate
DACS comenzile utilitare sunt de obicei instalate ca binare separate, dar DACS poate (de asemenea sau
în schimb) să fie construit cu majoritatea dintre ele combinate într-un singur binar care este instalat ca
dacs. Diferitele programe utilitare pot fi apoi rulate ca:
% dacs dacs-comanda [dacsoptions] [opțiuni-comandă]
De exemplu:
% dacs dacskey -u foo.myfed.com outfile
Rularea funcției dacs utilitarul fără argumente va afișa lista subcomenzilor disponibile.
Discovery Prelucrare
pod DACS programele efectuează următoarele acțiuni atunci când pornesc:
1. Determinați „modul” în care ar trebui să funcționeze; de exemplu, dacă REMOTE_ADDR
variabila de mediu este prezentă, programele vor presupune în general că ar trebui să ruleze ca a
aplicație web, mai degrabă decât ca o comandă de utilitate
2. Procesați un set standard de argumente în linia de comandă (dacsoptions[unu])
3. Setați procesul umask la 007 pentru a interzice accesul în lume pentru orice fișiere create
4. Dezactivați o descărcare de bază, astfel încât informațiile sensibile să nu poată fi dezvăluite examinându-le
(dar vezi --enable-dump[unu])
5. Refuzați să operați dacă orice fișier de configurare nu poate fi găsit sau are o eroare
6. Pentru serviciile web, faceți DACS directorul principal directorul de lucru curent
7. Dacă „modul securizat” a fost activat, serviciile web vor procesa numai solicitările HTTPS
8. Verificați dacă versiunea cerută de o solicitare este compatibilă cu versiunea de DACS
primirea cererii
9. Procesați orice argument specific programului în linia de comandă.
DACS programele depun eforturi pentru a distruge informațiile sensibile (cum ar fi parolele) cât mai curând
deoarece nu mai este necesar și pentru a nu scrie informații potențial sensibile în fișierele jurnal
cu excepția cazului în care este configurat în mod special pentru a face acest lucru.
Internals
niste DACS componentele pot apela alte componente folosind HTTP (eventual prin SSL, în funcție de
configurație). De exemplu, modulele de autentificare pot fi invocate ca servicii web de către
dacs_authenticate(8)[39]. În toate cazurile, este posibil ca aceste apeluri HTTP „interne” să nu aibă ca rezultat un
redirecționare, cum ar fi printr-un cod de stare 302 Found. Deși aceasta poate fi uneori un
inconvenient, este, în parte, o măsură de securitate.
Vârf
La depanarea unei probleme care poate implica o solicitare HTTP internă (în special legată de
la autentificare), verificați că DACS nu primește o redirecționare. HTTP intern
cererile pot eșua în mod misterios din cauza configurației incorecte sau incomplete
a parametrilor SSL. Solicitări HTTP interne prin utilizarea SSL sslclient(1)[4], la fel ca și
dacshttp(1)[3] comanda. Dacă bănuiți că este posibil ca o adresă URL schematică https să nu funcționeze,
depanați problema folosind sslclient și apoi dacshttp.
Pentru a menține consistența datelor, DACS creează încuietori exclusive folosind fcntl(2)[44] sistem
apelează la fișierele scrise în directorul configurat prin intermediul TEMP_DIRECTORY[45]
directivă.
Exploatari forestiere
pod DACS serviciile și utilitățile scriu diferite tipuri de mesaje într-unul sau mai multe fișiere jurnal.
Aceste mesaje pot fi neprețuite atunci când încercați să vă dați seama ce DACS face, pentru
audituri de securitate, sau pentru a vedea care DACS-resursele împachetate sunt accesate și în ce
moduri.
Va rog, referiti-va la dacs.conf(5)[46] pentru informații despre directivele de configurare legate de
Logare. O gamă largă de steaguri de linie de comandă, descrise mai jos, sunt, de asemenea, legate de
Logare.
notițe
· DACS poate emite mesaje de jurnal înainte ca procesarea configurației să fie finalizată și
directivele de configurare asociate cu înregistrarea în jurnal nu sunt în vigoare în această perioadă
interval de pornire.
· Pentru că mod_auth_dacs[2] este o Apache modulul, cel Apache se aplică directivele de logare
la ea (și nu la DACS directive) și mesajele sale de jurnal sunt scrise Apache log
fișiere.
· Fișierele jurnal pot deveni rapid mari, mai ales când nivelul de înregistrare este setat la
niveluri de depanare sau de urmărire. Luați în considerare rotația zilnică sau trunchierea.
· Textul unui mesaj de jurnal poate cuprinde ocazional mai multe rânduri.
Valoarea implicită a LOG_FORMAT[47] directiva, care controlează aspectul jurnalului
mesaje, este definit în include/local.h ca LOG_FORMAT_DEFAULT_WEB pentru DACS servicii web
și LOG_FORMAT_DEFAULT_CMD pentru orice altceva. Iată un mesaj tipic de jurnal:
[Miercuri, 12 iulie 12:37:09 2006] [urme] [83648,1060,-] [dacs_acs:"acslib"] Permite
clauza acordă acces
Audit-Class Log Chat cont
În cazul mesajelor din clasa de audit, uneori poate urma un șir între paranteze
o identitate, ca în exemplele de mai jos. Acest șir, numit tracker, asociază jurnalul
mesaje cu o anumită origine și pot fi folosite pentru a urmări secvența unui utilizator de
solicitări de servicii folosind mesaje de jurnal în cadrul unei federații. Acest lucru poate fi util atunci când
depanare, căutarea problemelor de securitate sau analiză criminalistică.
Pentru un utilizator neautentificat, tracker-ul poate fi derivat numai euristic, din
elemente ale contextului de execuție. Adresa IP a utilizatorului, șirul de agent de utilizator și SSL
certificatul de client, atunci când este disponibil, sunt utilizate. Dacă două dintre aceste șiruri de urmărire diferă,
solicitările vin de obicei de la diferite gazde, browsere sau utilizatori, dar asta
nu este neapărat întotdeauna cazul. În mod similar, dacă același șir de urmărire este
asociate cu două mesaje de jurnal, cererile de servicii nu sunt neapărat
emis de același utilizator.
Pentru un utilizator autentificat, șirul de urmărire constă din derivat euristic
șir, urmat de o virgulă, urmat de un șir asociat în mod unic cu cel al utilizatorului
acreditările. Acest tracker are o probabilitate mare de a fi unic și de a avea un
cartografiere unu-la-unu cu un anumit utilizator.
Luați în considerare aceste intrări (condensate) din fișierul jurnal:
[Miercuri, 12 iulie 15:56:24 2006] [notificare] [83963,1067,A] [dacs_acs:"authlib"]
*** Accesul acordat utilizatorului neautentificat (7vJLWzv5) din 10.0.0.124
pentru /cgi-bin/dacs/dacs_current_credentials
[Miercuri, 12 iulie 15:56:27 2006] [notificare] [83965,1073,A] [dacs_acs:"authlib"]
*** Accesul acordat utilizatorului neautentificat (7vJLWzv5) din 10.0.0.124
pentru /cgi-bin/dacs/dacs_authenticate
[Miercuri, 12 iulie 15:56:27 2006] [depanare] [83966,172,A] [dacs_authenticate:"authlib"]
Autentificarea reușită pentru HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
[Miercuri, 12 iulie 15:56:30 2006] [notificare] [83973,1078,A] [dacs_acs:"authlib"]
*** Acces acordat la DSS::HOME:bobo (7vJLWzv5,wA/Pudyp3f0)
de la 10.0.0.124 pentru /cgi-bin/dacs/dacs_current_credentials
În primele două dintre mesajele de jurnal de mai sus, apare trackerul 7vJLWzv5, adică
cele două solicitări au venit probabil de la același utilizator (neautentificat). Cu al treilea
mesaj de jurnal, utilizatorul a fost autentificat și tracker-ul 7vJLWzv5,wA/Pudyp3f0 este
folosit. Deoarece aceste instrumente de urmărire au toate același prefix, primele două solicitări
probabil a venit și de la cineva care s-a autentificat ca DSS::HOME:bobo. Ultima cerere,
pentru /cgi-bin/dacs/dacs_current_credentials, cu siguranță a venit de la acel utilizator. Dacă aceasta
utilizatorul trebuia să se deconecteze și apoi să emită mai multe solicitări de servicii oriunde în federație
DSS, fiecare mesaj de jurnal ar conține tracker-ul 7vJLWzv5.
Securitate
Urmărirea în mod fiabilă a cererilor utilizatorilor anonimi este dificil de făcut bine. A
Abordarea bazată pe cookie-uri se poate descurca mai bine în unele situații, dar are propriile sale dezavantaje
(cum ar fi să fie total ineficient atunci când utilizatorul a dezactivat cookie-urile).
Urmărire Utilizator Activitate
DACS include o caracteristică, activată ca opțiune de construcție (vezi dacs.install(7)[48]), prin care
o jurisdicție poate urmări activitatea tuturor utilizatorilor săi (adică acei utilizatori care
autentificați la jurisdicție). Fiecare eveniment de autentificare reușit, deconectare explicită
evenimentul și evenimentul de solicitare a serviciului web trimis de utilizator pot fi înregistrate la domiciliul utilizatorului
jurisdicție în formatul definit de dacs_user_info.dtd[49]. Aceste informații pot fi
valoroasă pentru o mai bună înțelegere a ceea ce se întâmplă într-o federație,
inclusiv ajutând la diagnosticarea problemelor de performanță și securitate. Este baza caracteristicilor
cum ar fi afișarea activității recente a contului și poate fi folosit și pentru a crea noi
capabilități, cum ar fi o limită de conectare concomitentă sau o componentă de autentificare adaptivă la
implementați autentificarea stratificată sau autentificarea bazată pe riscuri.
Pentru a specifica unde și cum ar trebui să mențină aceste înregistrări o jurisdicție de origine, user_info
tipul de articol trebuie definit la respectiva jurisdicție; dacă nu este definit, nu vor fi înregistrări
scris la acea jurisdicție, deși jurisdicția va încerca în continuare să trimită evenimentul
înregistrări către alte jurisdicții. Pentru beneficii maxime, funcția ar trebui să fie activată
jurisdicții dintr-o federație, deoarece toată activitatea utilizatorilor din federație poate atunci
fi înregistrat.
Dacă o jurisdicție dorește să monitorizeze activitatea utilizatorilor săi din alte jurisdicții, aceasta
trebuie să permită acelor jurisdicții să-și invoce dacs_vfs(8)[50] serviciu prin adăugarea unui
regula corespunzătoare de control al accesului.
Securitate
Este esențial pentru orice astfel de regulă să solicite dacs_admin()[51] predicat.
notițe
· dacs_admin(8)Instrumentele [52] oferă o interfață pentru aceste înregistrări. Ar trebui
eventual extins pentru a colecta și organiza înregistrările găsite în toate jurisdicțiile
într-o federație pentru a facilita analiza. Pentru că sunt fișiere text cu a
format relativ simplu, administratorilor nu ar trebui să le fie greu de aplicat
instrumente comune de procesare a textului sau scrieți programe scurte, personalizate în acest scop.
Comenzi similare cu ultimul(1)[53], care(1)[54] și sa(8)[55] sunt luate în considerare.
· Fiecare jurisdicție ar trebui să scrie înregistrări în propriul loc (adică, jurisdicțiile
nu ar trebui să partajeze același obiect VFS pentru user_info).
· Această bază de date va crește pe termen nelimitat; un administrator este responsabil de rotație
sau trunchierea acestuia. Dacă informațiile de conectare anterioare și active sunt importante (vezi
dacs_current_credentials(8)[56]), tăiați numai înregistrările cererii (adică, acs
elemente). O altă metodă acceptabilă este să aruncați (sau arhivați) o parte din
înregistrări mai vechi (să zicem, jumătate) și păstrați unele dintre înregistrările mai noi.
· Formatul datelor poate fi modificat.
· Se poate adăuga o directivă pentru a activa sau dezactiva această caracteristică în timpul execuției.
· Evenimentele administrative interne nu sunt înregistrate.
· Deoarece deconectarea (prin dacs_signout(8)[57]) este opțional, sfârșitul unei sesiuni
poate fi uneori dedusă sau aproximată doar din expirarea acreditărilor sau
ora ultimului eveniment înregistrat.
OPŢIUNI
DACS programele și serviciile web obțin o mare parte din informațiile lor de configurare de rulare prin
citirea fișierelor de configurare și examinarea variabilelor de mediu. O anumită configurație
informațiile pot fi furnizate la compilare. Mai multe steaguri de linie de comandă pot fi folosite pentru
suprascrie comportamentul implicit.
notițe
· Toate dacsoptions steagurile sunt procesate de la stânga la dreapta și trebuie să apară înaintea oricăruia
steag sau argument specific comenzii. Primul steag sau argument care nu este
recunoscut ca unul dintre dacsoptions termină lista.
· Cel mai important dacsoptions sunt cele care precizează locația
fișierele de configurare și identificați secțiunea de jurisdicție de utilizat în cadrul a
Fișier de configurare. În funcție de program și de modul în care este utilizat, configurație
informațiile pot să nu fie necesare, pot fi opționale sau pot fi necesare.
· Cel mult unul dintre steagurile liniei de comandă pentru a selecta o secțiune de jurisdicție poate fi
specificat. A se referi la dacs.conf(5)[46] pentru informații suplimentare cu privire la
fișierul de configurare și procesarea configurației.
Multe DACS utilitarele recunosc următoarele opțiuni standard, care sunt apelate
dacsoptions:
-c dacs.conf
Acest lucru spune DACS unde poate găsi un fișier de configurare pentru jurisdicția pe a cărei
în numele acţionează. Dacă acest argument nu este prezent, în funcție de modul în care a fost construit,
DACS poate încerca fie să folosească un fișier specificat în timpul compilației, fie va încerca să folosească fișierul
valoarea variabilei de mediu DACS_CONF[58]. Pentru detalii, consultați Localizare
dacs.conf si site.conf[59].
-Dnume=valoare
Efectul acestui flag este de a defini variabila nume (care trebuie să fie valid din punct de vedere sintactic)
în DACS namespace pentru a avea valoarea valoare. Orice citate în jur valoare sunt reținute,
cu condiția ca coaja să nu le fi dezbrăcat deja. Acest steag poate fi repetat. Aceste
variabilele pot fi ulterior testate în timpul procesării configurației și al regulii
prelucrare; de exemplu, valoarea unei directive de configurare poate depinde de
valoarea a dacsoptions steag. Definirea a nume care se întâmplă să corespundă cu a
dacsoptions flag nu are alt efect decât acela de a crea variabila.
TOATE dacsoptions steaguri (F? r? acest unu) sunt adăugate automat la DACS
spațiu de nume pe măsură ce sunt procesate. Un steag care este „singleton” (de exemplu, -q) este inițial
i se atribuie o valoare de unu și este incrementat la fiecare apariție ulterioară. Un steag al
forma -steag valoare este echivalent cu -D-steag=valoare. Steaguri neutilizate sunt nedefinite; dacă -q
nu este dat, ${DACS::-q} nu vor fi definite. Pentru acele steaguri care au sinonime, a
este creată variabilă pentru fiecare sinonim. Dacă nume este folosit, explicit sau implicit,
valorile ulterioare le înlocuiesc pe cele anterioare.
De exemplu, dacă dacsoptions sunt:
-c www.example.com -v --verbose -Dfoo="baz" -ll debug -D-ll=trace
atunci variabilele vor fi definite după cum urmează:
${DACS::-c} este „www.example.com”
${DACS::-v} este „2”
${DACS::--verbose} este „2”
${DACS::foo} este "\"baz\""
${DACS::-ll} este „urmă”
Nivelul de depanare va fi depanare și nu urmărire.
--dumpenv
Imprimați toate variabilele de mediu în stdout și apoi ieșiți imediat.
--enable-dump
În mod implicit, DACS serviciile web și majoritatea comenzilor dezactivează generarea de dump de bază ca a
precautie de securitate. Deoarece un dump de bază poate fi util la depanare, acest indicator
permite să fie creată. Deoarece programele cărora li se permite să producă un core dump trebuie
schimbare la DACS_HOME director, dumpurile de bază vor fi scrise acolo. Folosește acest steag
cu grija.
-format fmt
Formatul de ieșire este setat la fmt, care este unul dintre următoarele cuvinte cheie (case
insensibil): fișier, html, json, php, simplu, text, xml, xmldtd, xmlsimple sau
xmlschema. Nu toate formatele de ieșire sunt acceptate de toate programele. Acest steag anulează
Orice FORMAT[60] argument pentru un serviciu web, care, la rândul său, suprascrie valorile implicite ale unui program
format. Formatul implicit depinde de programul specific și de modul în care este invocat.
Pentru informații suplimentare, consultați descriere of il FORMAT argument[60].
-ll nivel de înregistrare
Nivelul de înregistrare este setat la la nivel de jurnal, care este unul dintre cuvintele cheie recunoscute de
LOG_FILTER[61] directivă.
--licență
Imprimați licența pentru DACS la stdout și apoi ieșiți imediat.
-q
Liniște. Acest lucru este echivalent cu setarea nivelului de înregistrare pentru avertizare.
-sc site.conf
Acest lucru spune DACS că poate găsi un fișier de configurare pentru jurisdicția pe a cărei
în numele acţionează. Dacă acest argument nu este prezent, în funcție de modul în care a fost construit,
DACS poate încerca fie să folosească un fișier specificat în timpul compilației, fie va încerca să folosească fișierul
valoarea variabilei de mediu DACS_CONF[58]. Pentru detalii, consultați Localizare
dacs.conf si site.conf[59].
--std
Acest lucru semnalează sfârșitul argumentelor comune. Următorul argument în linia de comandă, dacă există, este
specifice programului.
-t
Emiteți informații de urmărire. Acest lucru este echivalent cu setarea nivelului de înregistrare la urmărire.
(A se vedea, de asemenea debug_dacs[62].)
-u config-uri
Aceasta instruiește DACS să utilizeze config-uri pentru a selecta secțiunea de jurisdicție de utilizat în
Fișier de configurare. Pentru detalii, consultați competență Secțiune[63].
-uj jurisdictie-nume
Aceasta instruiește DACS pentru a folosi numele jurisdicției jurisdictie-nume pentru a selecta
secțiunea de jurisdicție de utilizat în fișierul de configurare. Pentru detalii, consultați
competență Secțiune[63].
-A
Aceasta instruiește DACS să nu proceseze site.conf sau dacs.conf. Acesta poate fi folosit numai cu
un număr mic de comenzi, cum ar fi dacsacl(1)[64] și sslclient(1)[4].
-sus jurisdictie-nume
NEIMPLEMENTAT. Aceasta instruiește DACS pentru a folosi numele jurisdicției jurisdictie-nume la
selectați secțiunea de jurisdicție de utilizat în fișierul de configurare și îi spune că
serverul web acționează ca un proxy direct; acesta este, jurisdictie-nume nu
neapărat „deține” adresa URL solicitată. Pentru detalii, consultați competență
Secțiune[63].
-ne
Aceasta instruiește DACS pentru a utiliza secțiunea de jurisdicție unică și unica care apare în
Fișier de configurare. Adică fișierul de configurare trebuie să conțină exact unul
secțiunea de jurisdicție și aceasta este cea care ar trebui folosită. Pentru detalii, consultați
competență Secțiune[63].
-v
--verbos
Fiți mai detaliat, în raport cu nivelul curent de înregistrare. Acest steag poate fi repetat.
--versiune
Imprimați informațiile despre versiune pe stderr imediat și apoi ieșiți. Dacă -v a aparut mai devreme
pe linia de comandă, tipăriți și informațiile despre versiune pentru fiecare DACS fișierul cod sursă în
acest program.
notițe
Informațiile complete despre versiune sunt disponibile numai pentru programele legate static.
De asemenea, vezi dacsversion(1)[65] și versiunea_dacs(8)[66].
Vârf
Dacă nu este dat niciun flag de linie de comandă pentru a specifica secțiunea de jurisdicție, valoarea lui
variabilă de mediu DEFAULT_JURISDICTION va fi folosit ca și cum ar fi dat cu -uj steag.
Acest lucru poate fi deosebit de util atunci când o gazdă are o singură jurisdicție configurată
deoarece face inutilă precizarea întotdeauna a jurisdicţiei pentru DACS comenzi.
MEDIUL
SERVER_NAME, SERVER_PORT, REQUEST_URI
Poate fi folosit pentru a determina jurisdicția aplicabilă.
Utilizați dacs online folosind serviciile onworks.net
