Это командные ЦАПы, которые можно запускать в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ЦАП - распределенная система контроля доступа
СИНТАКСИС
ЦАП [-v | --подробный] [--dumpenv] [--лицензия] [--версия]
ЦАП dacs-команда [опции[1]] [...]
dacs-команда [-u префикс uri | -удж название юрисдикции | Ун | -до название юрисдикции | -нас]
[-c dacs.conf]
[-SC site.conf] [-ll уровень ведения журнала] [-формат FMT] [-q] [-t] [-Dимя=ценностное ]
[-v | --подробный] [--dumpenv] [--enable-дамп] [--лицензия] [--стд] [--версия]
ОПИСАНИЕ
Эта программа является частью DACS на.
DACS это универсальная веб-система проверки подлинности и контроля доступа. Это обеспечивает
функция единого входа и гибкий контроль доступа к контенту и предоставляемым услугам
с помощью веб-серверов. DACS состоит из Apache модуль (mod_auth_dacs[2]) через который Apache
общается с DACS для принятия решений по контролю доступа, набор программ CGI, которые
обеспечивать DACS веб-сервисов, а также набор служебных команд, которые предоставляют различные
вспомогательные и административные функции для DACS. Некоторые из этих утилит, например
даксhttp(1)[3] и SSL-клиент(1)[4], являются полностью универсальными.
Команда DACS механизм контроля доступа и компоненты аутентификации также можно использовать из
командная строка, в среде CGI или полностью независимо от Интернета.
Для получения важной информации о DACS, включая инструкции по установке, см.
dacs.readme(7)[5] и dacs.install(7)[6].
О нас DACS
НЕТ ГАРАНТИЯ
Это программное обеспечение предоставляется Dss «как есть» и с любыми явными или подразумеваемыми гарантиями,
включая, но не ограничиваясь, подразумеваемые гарантии товарной пригодности, пригодности для
конкретная цель или ненарушение прав не признаются. Ни в коем случае Dss не может быть
несет ответственность за любые прямые, косвенные, случайные, особые, примерные или косвенные
убытки (включая, помимо прочего, приобретение товаров или услуг-заменителей;
потеря возможности использования, данных или прибыли; или прерывание бизнеса), как бы то ни было, и по любому
теория ответственности, будь то договорная, строгая или деликтная (включая
халатности или иным образом), возникшие каким-либо образом в результате использования этого программного обеспечения, даже если
уведомлен о возможности такого повреждения.
По соглашению имена всех DACS веб-службы начинаются с префикса "dacs_" (например,
dacs_conf). Начиная с версии 1.4.17, все команды, реализующие DACS функциональность
начинаются с префикса «ЦАП» (например, даксконф). Многие DACS у веб-сервисов есть команда
аналоги. Имена веб-сервисов, которые используются внутри DACS (т.е. они
никогда не вызывается напрямую пользователями) начинается с "local_" (например, local_passwd_authenticate).
Универсальные веб-службы и команды не подчиняются соглашениям об именах, кроме
без использования каких-либо ранее упомянутых префиксов.
Используются определения типов документов (DTD), которые хранятся в каталоге dtd-xsd.
документировать форматы файлов или описывать аргументы DACS веб-сервис или его ответ. В
В текущей реализации эти файлы DTD не используются во время проверки XML. Атрибуты
типа CDATA могут иметь дополнительные ограничения на их значения; проконсультируйтесь с соответствующими
документация. Эти файлы технически не являются допустимыми DTD, поскольку в них отсутствует тип документа.
декларация (DOCTYPE); соответствующий DOCTYPE генерируется программно во время
Выдается DTD.
Важнo
DACS не предотвращает определенные виды атак на веб-сайты, такие как Отказ of
СЕРВИС нападки[7], Межсайтовый сценариев (XSS)[8] или Межсайтовый запросить подделка
(КСРФ)[9]. Однако в сочетании с соответствующими мерами защиты веб-сайта DACS
действительно предоставляет механизмы, затрудняющие подобные атаки.
О нас Ручная Страницы
Техническая документация на DACS состоит из набора справочных страниц. В HTML
коллекция, индекс страница[10] включает оглавление, ссылки на специальные аннотации.
в технической документации, а также в списках переменных, директивах конфигурации и
Определения типов XML-документов.
Функции
Каждая страница справочника HTML содержит инструмент выбора размера шрифта в нижней части. Если
JavaScript включен, текущий выбранный размер шрифта может быть изменен и глобальный
набор предпочтений. Чтобы выбрать размер шрифта для текущей страницы, щелкните один из четырех
коробки. Чтобы сделать текущий выбор вашим предпочтением по страницам руководства, посещениям сайтов,
и сеансы браузера, нажмите кнопку «установить», чтобы установить HTTP-куки. Если
предпочтение не было установлено таким образом (т.е. отсутствует файл cookie) и страница руководства
посещается с параметром запроса ДАКСМАНФОНТ установлен в 0, 1, 2 или 3 (представляющий
от наименьшего к наибольшему кеглю), будет выбран соответствующий шрифт и
предпочтение устанавливается автоматически (если предпочтение было установлено, параметр игнорируется).
Разделы документации, помеченные как «Безопасность», посвящены важным соображениям безопасности;
пожалуйста, обратите на них особое внимание. Области с пометкой "Совет" указывают на экономию времени.
(а иногда и уменьшающие обострение) техники и рекомендуемые практики.
В именах путей и URL-адресах, которые появляются в примерах, текст "..." представляет текст, который имеет
был опущен, потому что он не имеет отношения к обсуждаемому, или который может отличаться
в зависимости от деталей конфигурации, например, где что-то было установлено (например,
... / dacs / bin / dacshttp).
Если не указано иное, URL-адреса, используемые в примерах, являются вымышленными и, скорее всего, не будут
Работа. Часто используется зарезервированное доменное имя example.com (RFC 2606[11]).
В инструкциях и примерах "%" обычно используется для обозначения приглашения командной строки:
% Дата
Вс, 1 апреля, 15:33:11 PDT 2007 г.
Однако иногда для обозначения подсказки используется другой символ, например, когда
демонстрация интерактивного режима даксэкспр(1)[12]:
> 1 + 1
2
Расширенная форма БНФ обозначение[13] используется для краткого описания синтаксиса. Мы надеемся, что это
и понятно, и знакомо, но могут возникнуть некоторые несоответствия и двусмысленности
по всей документации; это улучшается медленно. Срок в производстве может
включать спецификацию типа регулярного выражения, где '+' означает одно или несколько вхождений
термина, а '*' - ноль или более вхождений. Указан любой из набора символов.
в квадратных скобках, а диапазон последовательных символов (в кодовой последовательности ASCII) равен
разделенные дефисом (например, [A-Za-z0-9 \ -_] + означает «один или несколько буквенных символов,
цифры, дефисы или символы подчеркивания "). В других контекстах квадратные скобки указывают на необязательный
срок. Одиночные и двойные кавычки определяют буквальные символы. Обратите внимание, что XML DTD используют свои
собственный синтаксис, который несколько отличается, и в некоторых случаях грамматики соблюдаются в соответствующих
RFC соблюдаются за ясность или в качестве примеров.
Основные концепции
Некоторые из ключевых концепций, используемых в DACS документация определены в этом
.
аккаунт
Постоянная запись, которая связывает личность (или имя пользователя) с информацией о состоянии.
об учетной записи (например, включена или отключена учетная запись), информация
что требуется для аутентификации личности (например, дайджест строки пароля),
и, возможно, другая информация, связанная с входом в систему. Обратите внимание, что DACS личности не
обязательно иметь соответствующий аккаунт. DACS не предоставляет механизмов для
управлять «чужими» типами счетов; например, хотя он может аутентифицироваться против
их он не может создавать или перечислять учетные записи Unix или Windows.
идентификация
Процедура, с помощью которой человек или программа получает учетные данные, которые представляют DACS
личность, обычно утверждая DACS имя пользователя, представляющее личность и
предоставление информации, которую может знать или владеть только эта личность. После
успешной аутентификации считается, что человек или программа прошли аутентификацию. DACS
может взаимодействовать с широким спектром методов аутентификации и предоставляет некоторые из своих
своя; легко могут быть добавлены новые методы.
разрешение
Процедура, которая определяет в конкретном контексте, действительно ли запрос на данный
ресурс или объект должны быть разрешены. Если личность авторизована для выполнения
определенная операция над объектом, доступ предоставляется, в противном случае - отказано. Доступ
правила контроля - это один из методов описания того, какая личность или личности должны быть
предоставил или отказал в доступе к определенному ресурсу. Грубый контроль доступа
предполагает принятие решения на высоком уровне о том, должен ли доступ к объекту быть
предоставленный; обычно это решение по принципу «все или ничего». Детальный контроль доступа
используется в программе, чтобы решить, есть ли доступ к ресурсу нижнего уровня (некоторые данные,
административная функция, меню).
Обратите внимание, что в отличие от некоторых систем, DACS не предопределяет, какие ресурсы конкретный
пользователь (личность) может и не может получить доступ; то есть администратор не составляет список
какие права есть у каждого пользователя. Авторизация всегда определяется оценкой правила,
в реальном времени, когда пользователь запрашивает ресурс. Единственными исключениями из этого являются некоторые
дополнительные функции: Авторизация Кэширование[14] и Ссылки[15].
Полномочия
If идентификация успешно, DACS возвращает информацию, которую можно использовать в
последующие операции для представления аутентифицированной личности. Учетные данные содержат
информация об идентичности, такая как ее имя, и метаинформация, такая как
время, в которое учетные данные истекают и становятся недействительными. Учетные данные защищены
криптографически, поэтому их трудно подделать или изменить. Они должны быть сохранены
секрет, так что личность не может использоваться кем-либо, кроме ее владельца, и должна
сопровождать запрос, сделанный на сервер, чтобы DACS знает, кто делает запрос. В
конкретный механизм, используемый для этого, не важен, если учетные данные не могут быть
скопировано и использовано повторно; передача учетных данных с использованием полезной нагрузки HTTP-файла cookie через
соединение SSL является типичным, хотя отправка учетных данных в качестве значения HTTP
заголовок расширения - еще одна возможность.
Хотя нет конкретного ограничения на размер учетных данных, поскольку DACS is
обеспокоены, поскольку они могут быть инкапсулированы в файл cookie HTTP и возвращены в
браузеру следует внимательно учитывать ограничения на файлы cookie, налагаемые браузерами.
Любая юрисдикция может понимать учетные данные, предоставленные любой другой юрисдикцией в пределах
та же федерация. Таким образом, пользователю необходимо пройти аутентификацию только один раз, чтобы получить доступ
веб-сервисы в любой юрисдикции, использующие эту личность.
Обратите внимание, что в DACS, учетные данные не дают их владельцу никаких прав и не передают никаких
авторизация; DACS не основанный на возможностях система[16]. Полномочия просто представляют
a DACS идентичность.
Обратитесь к dacs_authenticate(8)[17] для подробностей.
текущий запросить
Событие, инициировавшее проверку авторизации, обрабатываемую
dacs_acs(8)[18] называется текущим запросом. Для запроса на
DACS-обернутый веб-ресурс, это будет HTTP-запрос, полученный сетью
сервер для ресурса. В ситуациях, когда dacs_acs не участвует, например, когда
Дакчек(1)[19] или даксэкспр(1)[12], текущий запрос и его контекст
указываются аргументами командной строки или получаются из казнь
охрана окружающей среды[20].
dacs_acs использования $ {DACS :: URI} как компонент пути текущего запроса. это
полученный от Apache Связи элемент текущего request_rec. Это строка, которая
используется для сопоставления с правилами контроля доступа.
Другой DACS компоненты определяют текущий HTTP-запрос, исследуя несколько
переменные среды: HTTP_HOST (или НАЗВАНИЕ СЕРВЕРА и SERVER_PORT), REQUEST_URI,
QUERY_STRINGи HTTPS.
Значение $ {DACS :: URI} и компонент пути $ {Env :: REQUEST_URI} не
обязательно то же самое. Например, после внутреннего перенаправления значение последнего будет
от исходного URL-адреса, а первый - от цели перенаправления.
Текущая строка запроса важна, потому что она может использоваться для определения
текущий федерация[21] и текущий юрисдикция[22], и потому что он используется, когда
поиск правила управления доступом для применения к запросу.
DACS
Состоящие из веб-сервисов на основе CGI, Apache 2.0 / 2.2 модуль и набор
коммунальные услуги, DACS обеспечивает функциональность аутентификации и авторизации. Прозрачный,
Для веб-ресурсов доступно грубое управление доступом на основе ролей.
Программный универсальный контроль доступа на основе ролей доступен практически для любого
программа (с использованием Дакчек(1)[19]). Это полностью отделено от Apache.
DACS администратор
Лицо (или лица), ответственное за управление работой DACS is
называется DACS админ (иногда просто «админ»). Этот человек
не обязательно системный администратор (например, суперпользователь или root), хотя небольшой
количество дополнительных компонентов DACS должен выполняться от имени пользователя или группы root. В DACS
администратор не обязательно должен быть Apache администратор; однажды Apache был настроен для
DACS после этого обычно требуется очень мало модификаций. В DACS администратор
отвечает за настройку и тестирование DACS (возможно, установив и обновив его,
тоже), управление учетными записями пользователей и правилами контроля доступа, обеспечение безопасности, резервное копирование
вверх файлы конфигурации и данных и так далее. Дизайн DACS позволяет некоторое делегирование
ответственности, во многом основанной на правах доступа к файлам. При вызове в качестве веб-службы
каждый из идентификаторов настроен как ADMIN_IDENTITY[23] фактически DACS
администратор; в этом контексте системный суперпользователь не имеет значения.
DACS личность
Каждому аутентифицированному пользователю назначается имя, состоящее из имени
аутентифицирующая юрисдикция, ее название федерации и имя пользователя. Каждое из этих наименований
компоненты должны быть синтаксически правильными. В некоторых контекстах название федерации
скрытый; иногда название юрисдикции также подразумевается. Такие объекты, как
частные лица (люди, а также программы, устройства и т. д.), федерации, юрисдикции,
и у групп есть имена. Ответственность за аутентификацию лежит на юрисдикциях.
пользователей. Синтаксис, значения и уникальность имен также являются проблемой юрисдикции.
и, возможно, проблема всей федерации.
Каждая сущность реального мира обычно имеет уникальный DACS личность, но это оставлено на
аутентификация юрисдикций. Две или более личности различны, если они не относятся
одному и тому же человеку из реального мира. Федеративная идентификация или единый вход (SSO) - это
способность распознавать личность пользователя в разных юрисдикциях и даже в федерациях.
Важнo
Имейте в виду, что независимо от метода аутентификации и информации об учетной записи
используются два одинаковых имени пользователя (относящиеся к одной юрисдикции и с учетом
аккаунт NAME_COMPARE[24]) являются косвенно учитывает предполагается, в относиться в то же личность by
DACS. Например, кто-то, кто аутентифицировался как Огги, предоставив правильный
Пароль Unix практически неотличим от пароля пользователя, прошедшего аутентификацию как
Огги с помощью информационной карты. Учетные данные пользователя включают информацию о
метод аутентификации, участвовавший в их создании, и Пользователь()[25] функция может
использоваться для получения этой информации, но было бы неразумно основывать идентичности на
это. Настоятельно рекомендуется, чтобы новый DACS юрисдикции тщательно разработать
расширяемый план именования пользователей.
DACS-завернутый
Веб-ресурс называется DACS-wrapped, если веб-сервер, ответственный за
вызовы ресурсов DACS (более конкретно, dacs_acs(8)[18]), чтобы сделать контроль доступа
решение всякий раз, когда он получает запрос на ресурс.
федерация
A DACS федерация состоит из одной или нескольких юрисдикций. Юрисдикции, включающие
федерация координирует обмен информацией через легкие бизнес-практики
реализовано как требование членства в DACS федерация; другими словами,
члены федерации обычно соглашаются соблюдать определенные правила поведения, чтобы
сохранить общую безопасность, чтобы пользователи могли получить максимальную выгоду. Федерация
состоящий только из одной юрисдикции, нет ничего необычного.
пункт напишите
Тип элемента - это имя, которое соответствует VFS[26] (виртуальное хранилище файлов) спецификация, которая
настраивает, как и где хранятся данные. Уровень косвенности, который они обеспечивают
означает, что правила контроля доступа, например, могут быть настроены как обычные
файлы, база данных Berkeley DB, удаленная база данных, доступ к которой осуществляется через HTTP, и т. д. - все
требуется, чтобы ACL типа элемента были правильно настроены. Некоторые типы предметов
(как и acls) зарезервированы и имеют особое значение для DACS, в то время как другие могут использоваться
a DACS администратор для других целей. Имя типа элемента чувствительно к регистру и
состоит из букв, цифр, дефисов и подчеркиваний, но должен начинаться с буквы
характер.
юрисдикция
A DACS юрисдикция - это автономная административная единица, которая удостоверяет свою
пользователей, предоставляет веб-службы или и то, и другое. Может соответствовать организации,
отдел, веб-сервер или виртуальный хост. Юрисдикции иногда создаются просто как
административное удобство. Каждой юрисдикции присваивается уникальное имя в пределах
федерации.
Домашняя юрисдикция пользователя - это юрисдикция, которая может аутентифицировать этого пользователя. В
ситуации, когда у пользователя есть несколько учетных данных, полученных из разных
юрисдикции, эффективная домашняя юрисдикция для запроса зависит от того,
учетные данные выбираются во время обработки авторизации. Директивы конфигурации
доступно, чтобы ограничить количество наборов учетных данных, которые могут сопровождать запрос.
пользователь агент
Пользовательский агент - это клиентское программное обеспечение, которое взаимодействует с другим программным обеспечением (сервером
приложение, как правило) от имени пользователь. Пользователь часто является человеком, но также может быть
программное обеспечение. Веб-браузер, который используется для взаимодействия с веб-сервером, является примером
пользовательский агент.
Именование
DACS необходимо называть множество вещей, чтобы на них можно было ссылаться в выражениях,
правила контроля доступа, директивы конфигурации и т. д. Хотя синтаксис URI используется для
назовите некоторые виды объектов внутри DACS, DACS также есть свои лаконичные схемы именования.
Внимание
Термины текущая федерация (текущая юрисдикция) и эта федерация (это
юрисдикция) используются в документации для обозначения федерации (юрисдикции)
связан с текущим контекстом конфигурации, в то время как DACS обрабатывает запрос.
В общем, название федерации компонент имени не является обязательным; в случае отсутствия
предполагается действующая федерация. Точно так же название юрисдикции может быть опущен, и
Подразумевается текущая юрисдикция.
федераций
Синтаксис:
название федерации::
Пример:
ДЕМО ::
Команда название федерации (обычно получается из ФЕДЕРАЦИЯ_ИМЯ[27] конфигурация
директива) должен начинаться с буквенного символа, за которым следует ноль или более
буквенно-цифровые символы, дефисы и символы подчеркивания. А название федерации обычно лечится случай
чутко (но см. NAME_COMPARE[24] конфигурационная директива и Пользователь()[25]
функция для альтернативного поведения). Здесь нет a априори ограничение на его длину.
Команда FEDERATION_DOMAIN[28] указывает суффикс доменного имени, общий для всех
юрисдикции в федерации.
Юрисдикция
Синтаксис:
[[название федерации:: | [::]] название юрисдикции:
Примеры:
ДЕМО :: DSS:
:: DSS:
ДСС:
Команда название юрисдикции (обычно получается из ЮРИСДИКЦИЯ_ИМЯ[29] конфигурация
директива) должен начинаться с буквенного символа, за которым следует ноль или более
буквенно-цифровые символы, дефисы и символы подчеркивания. А название юрисдикции обычно лечится
чувствительно к регистру (но см. NAME_COMPARE[24] конфигурационная директива и
Пользователь()[25] для альтернативного поведения). Здесь нет a априори ограничение на его
длина.
Пользователи
Синтаксис:
[[[название федерации:: | [::]] название юрисдикции]:username
Примеры:
ДЕМО :: DSS: Огги
:: DSS: Огги
DSS: Огги
: auggie
Полный DACS идентификатор включает компонент имени федерации и название юрисдикции
компонент, в дополнение к username. Предоставляется DACS-обернутые программы как
значение DACS_IDENTITY[30] переменная окружения.
Компонент имени пользователя, который доступен для программ CGI как значение параметра
DACS_USERNAME[31] переменная среды, состоит из одного или нескольких символов ASCII из
набор букв верхнего и нижнего регистра, цифр и следующих знаков препинания
персонажи:
! # $% & '-. ; ? @ [^ _ `{}
Все символы, имеющие значение меньше 041 (восьмеричное) или больше 0176 (восьмеричное), являются
недействительный, а также следующие символы:
*,: + () ~ <> = | \ / "
Заметки
· Помимо буквенно-цифровых символов, RFC 2396[32] допускает только
следующие символы ("pchar"), чтобы появиться в компоненте пути URI:
- _. ! ~ * '()%: @ & = + $,
· Некоторые действующие адреса электронной почты недействительны DACS имена пользователей. Например,
*bob*@example.com, "(bob)" @ example.com и \ (bob \) @ example.com допустимы.
имена почтовых ящиков, как определено RFC 822[33] (Приложение D) и обсуждается в RFC
3696[34] (Раздел 3), но оба недействительны, поскольку DACS имена пользователей. Если не указано иное,
компонент локальной части адреса электронной почты, который предшествует символу "@"
в addr-spec не может содержать:
() <> @,; : \ ". []
Кроме того, пробел и все управляющие символы US-ASCII (октеты 0 - 31)
и DEL (127) запрещены. Без кавычек локальная часть может состоять из
любая комбинация букв, цифр или любых из следующих символов:
! # $% & '* + - / =? ^ _ `. {| } ~
Точка (".") Может использоваться, но не может начинать или заканчивать локальную часть, а также не может
появляются два или более последовательных периода. В двойных кавычках любой ASCII
иероглиф может появиться, если правильно процитирован (например, Огги. "
".O." \ '".[электронная почта защищена]). Максимальная длина локальной части - 64
символов, а также максимальная длина доменного компонента, который появляется после
символ «@» составляет 255 символов.
В настоящее время нет возможности "процитировать" DACS имя пользователя, поэтому безопасное кодирование
к этим именам должен применяться метод или преобразование.
· DACS может создавать удостоверения для внутреннего использования с компонентами имени пользователя, которые
включать символы, которые обычно недопустимы.
· А username чувствителен к регистру (но см. NAME_COMPARE[24] конфигурация
директива и Пользователь()[25] для альтернативного поведения). Здесь нет a
априори ограничение на его длину.
· Рекомендуемая практика заключается в том, чтобы юрисдикции отображали свои DACS имена пользователей для
нижний регистр во время процедуры аутентификации, где это возможно, и когда
сопоставления уникальны. В ВЫХОД*Для этой цели можно использовать директиву [35].
Группы
Синтаксис:
[[название федерации:: | [::]]% [название юрисдикции]:имя группы
A имя группы должен начинаться с буквенного символа и может сопровождаться любым числом
букв, цифр, дефисов («-») и подчеркивания («_»).
Примеры:
% DEMO :: DSS: друзья
% :: DSS: друзья
% DSS: друзья
%:друзья
Роли и дескрипторы ролей
Синтаксис:
Роль-дескриптор -> Пустая строка | Список ролей
Список ролей -> Роли | Роли »,« Список ролей
Роли -> Базовая роль | Составная роль
Базовая роль -> [A-Za-z0-9 \ -_] +
Составная роль -> Базовая роль "/" Базовая роль | Базовая роль "/" Составная роль
Пустая строка -> ""
Строка дескриптора роли (также называемая строкой роли или дескриптором роли) состоит из
список ролей, разделенных запятыми. Название роли (a Базовая роль) построен из
прописные и строчные буквы, цифры, дефисы и подчеркивания. А Составная роль is
построен из двух или более Базовая роль термины, разделенные косой чертой. Здесь
три примера дескриптора роли:
админ, колесо, корень
администратор / оборудование
сети / программирование, информатика / системы / Project_X
Внимание
Строка дескриптора роли не содержит пробелов и не может начинаться или
заканчиваться запятой или косой чертой. Две или более последовательных запятых недопустимы,
как две или более последовательные косые черты.
Команда setvar ()[36] функция может использоваться для разделения составной роли на ее основные
роли.
Пожалуйста, обратитесь к dacs.groups(5)[37] для получения дополнительной информации.
Краткий пользовательский синтаксис
Синтаксис:
идент -> '{' kwv-список '}' | пользователь
kwv-список -> квт [',' квт]*
квт -> kwv-пользователь | квв-группа | kwv-аттр | квв-ip | kwv-истекает
kwv-пользователь -> 'u =' [Q] пользователь [В]
квв-группа -> 'g =' [Q] группы [В]
kwv-аттр -> 'a =' [Q] Attr [В]
kwv-истекает -> 'e =' [Q] истекает [В]
квв-ip -> 'ip =' [Q] IP-адрес [В]
пользователь -> простое имя | DACS-идентичность
группы -> группы [',' группы]*
группы -> имя группы | дескриптор роли
Attr -> любой алфавитный
IP-адрес -> любой-IP-адрес
истекает -> +отн-с | даты
где:
· Q - необязательный (совпадающий) символ кавычки;
· Пробел может опционально предшествовать большинству токенов;
· А DACS-идентичность полный или сокращенный DACS личность[38]
· А простое имя это username компонент DACS идентичность (т. е. без каких-либо
двоеточия); следовательно, в этом контексте рассматривается "специальное" имя, такое как auth.
как: auth
· дескриптор роли должен быть действительным DACS строка роли и имя группы должен быть действительным
DACS название группы (см. dacs_authenticate(8)[39] и dacs.groups(5)[40]);
· IP-адрес выражается в стандартной цифровой записи Интернета (например,
10.0.0.1); а также
· Время жизни учетных данных, полученных из удостоверения, может быть выражено как
заданное количество секунд (например, «e = + 3600») или заданная дата в одном из следующих
форматы (см. стрптайм(3)[41]):
% a,% d-% b-% Y% H:% M:% S GMT
% d-% b-% Y
% b% d,% Y
% b% d
% Y-% m-% dT% H:% M:% SZ
При необходимости даты интерпретируются относительно текущего времени или даты. В
время жизни преобразуется в его каноническую форму, которая является абсолютным временем и датой
в секундах с Эпохи, по часам юрисдикции. Свидание в прошлом
можно указать; это может быть полезно, например, для тестирования. Если личность
не используется для создания учетных данных, срок годности игнорируется, хотя он должен быть
синтаксически правильно.
· Единственное поддерживаемое значение атрибута - "a", что означает, что идентификатор должен быть
рассматривается как ADMIN_IDENTITY[23] (см. -админ флаг Дакчек(1)[19]).
Имя, выраженное в кратком синтаксисе, дает имя пользователя и, необязательно, роли и
атрибуты личности. Он используется Дакчек(1)[19], например.
Команда ЦАП утилита
DACS служебные команды обычно устанавливаются как отдельные двоичные файлы, но DACS может (также или
вместо этого) должны быть собраны с большинством из них, объединенными в один двоичный файл, который устанавливается как
ЦАП. Затем различные служебные программы можно запускать как:
% дакс dacs-команда [опции] [параметры команды]
Например:
% dacs dacskey -u foo.myfed.com Outfile
Запуск ЦАП Утилита без аргументов покажет список доступных подкоманд.
Start-up Обработка
Лучшее DACS программы при запуске выполняют следующие действия:
1. Определите «режим», в котором они должны работать; например, если REMOTE_ADDR
переменная окружения присутствует, программы обычно предполагают, что они должны работать как
веб-приложение, а не как служебная команда
2. Обработайте стандартный набор аргументов командной строки (опции[+42])
3. Установите umask процесса на 007, чтобы запретить доступ к миру для любых созданных файлов.
4. Отключите дамп ядра, чтобы конфиденциальная информация не могла быть раскрыта путем их изучения.
(но посмотри --enable-дамп[+43])
5. Отказаться от работы, если какой-либо файл конфигурации не может быть найден или содержит ошибку.
6. Для веб-служб сделайте DACS домашний каталог текущий рабочий каталог
7. Если включен «безопасный режим», веб-службы будут обрабатывать только запросы HTTPS.
8. Убедитесь, что версия, требуемая для запроса, совместима с версией DACS
получение запроса
9. Обработайте любые аргументы командной строки для конкретной программы.
DACS программы пытаются уничтожить конфиденциальную информацию (например, пароли), как только
поскольку он больше не нужен, и не записывать потенциально конфиденциальную информацию в файлы журнала
если специально не настроено для этого.
Внутренности
Некоторые DACS компоненты могут вызывать другие компоненты, используя HTTP (возможно, через SSL, в зависимости от
конфигурация). Например, модули аутентификации могут быть вызваны как веб-службы
dacs_authenticate(8)[39]. Во всех случаях эти «внутренние» HTTP-вызовы не могут привести к
перенаправление, например, с помощью кода состояния 302 Found. Хотя иногда это может быть
неудобство, это отчасти мера безопасности.
Функции
При отладке проблемы, которая может включать внутренний HTTP-запрос (особенно связанный с
для аутентификации), убедитесь, что DACS не получает перенаправление. Внутренний HTTP
запросы также могут загадочно завершаться неудачно из-за неправильной или неполной конфигурации
параметров SSL. Внутренние HTTP-запросы через использование SSL SSL-клиент(1)[4], как и
даксhttp(1)[3] команда. Если вы подозреваете, что URL-адрес со схемой https может не работать,
отладить проблему с помощью SSL-клиент , а затем даксhttp.
Чтобы поддерживать согласованность данных, DACS создает эксклюзивные блокировки с помощью ФКНТЛ(2)[44] система
вызывать файлы, записанные в каталоге, настроенном через TEMP_DIRECTORY[45]
Директивы.
Запись
Лучшее DACS службы и утилиты записывают различные типы сообщений в один или несколько файлов журнала.
Эти сообщения могут быть бесценными при попытке выяснить, что DACS делает, для
аудит безопасности, или посмотреть, какие DACS-wrapped ресурсы обращаются и в чем
пути.
Пожалуйста, обратитесь к dacs.conf(5)[46] для получения информации о директивах конфигурации, связанных с
протоколирование. Ассортимент флагов командной строки, описанный ниже, также относится к
протоколирование.
Внимание
· DACS может выдавать сообщения журнала до завершения обработки конфигурации и
директивы конфигурации, связанные с ведением журнала, не действуют во время этого
интервал запуска.
· Потому что mod_auth_dacs[2] - это Apache модуль, Apache применяются директивы ведения журнала
к нему (а не к DACS директивы) и его сообщения журнала записываются в Apache журнал
файлы.
· Файлы журнала могут быстро стать большими, особенно если установлен уровень ведения журнала
уровни отладки или трассировки. Рассмотрите возможность суточной ротации или усечения.
· Текст сообщения журнала может иногда занимать несколько строк.
Значение по умолчанию LOG_FORMAT[47] директива, которая контролирует внешний вид журнала
сообщений, определяется в include / local.h как LOG_FORMAT_DEFAULT_WEB для DACS веб-сервисы
и LOG_FORMAT_DEFAULT_CMD для всего остального. Вот типичное сообщение журнала:
[Среда, 12 июля, 12:37:09 2006] [trace] [83648,1060, -] [dacs_acs: "acslib"] Разрешить
пункт предоставляет доступ
Аудит-Класс Журнал Сообщения
В случае сообщений класса аудита строка в круглых скобках может иногда следовать за
идентичность, как в примерах ниже. Эта строка, называемая трекером, связывает журнал
сообщения с определенным происхождением и могут использоваться для отслеживания последовательности действий пользователя
запросы на обслуживание с использованием сообщений журнала по всей федерации. Это может быть полезно, когда
отладка, поиск проблем безопасности или судебно-медицинский анализ.
Для неаутентифицированного пользователя трекер может быть получен только эвристически, из
элементы контекста исполнения. IP-адрес пользователя, строка пользовательского агента и SSL.
используются сертификаты клиента, если они доступны. Если две из этих строк трекера различаются,
запросы обычно поступают от разных хостов, браузеров или пользователей, но это
не всегда так. Аналогично, если та же строка трекера
связанных с двумя сообщениями журнала, запросы на обслуживание не обязательно
выданный тем же пользователем.
Для аутентифицированного пользователя строка трекера состоит из эвристически выведенных
строка, за которой следует запятая, за которой следует строка, однозначно связанная с пользователем
реквизиты для входа. Этот трекер имеет высокую вероятность быть уникальным и иметь
взаимно однозначное сопоставление с конкретным пользователем.
Рассмотрим эти (сжатые) записи файла журнала:
[12 июля, среда, 15:56:24, 2006] [уведомление] [83963,1067, A] [dacs_acs: "authlib"]
*** Доступ предоставлен неаутентифицированному пользователю (7vJLWzv5) из 10.0.0.124
для / cgi-bin / dacs / dacs_current_credentials
[12 июля, среда, 15:56:27, 2006] [уведомление] [83965,1073, A] [dacs_acs: "authlib"]
*** Доступ предоставлен неаутентифицированному пользователю (7vJLWzv5) из 10.0.0.124
для / cgi-bin / dacs / dacs_authenticate
[12 июля, среда, 15:56:27 2006] [debug] [83966,172, A] [dacs_authenticate: "authlib"]
Аутентификация прошла успешно для HOME: bobo (7vJLWzv5, wA / Pudyp3f0)
[12 июля, среда, 15:56:30, 2006] [уведомление] [83973,1078, A] [dacs_acs: "authlib"]
*** Доступ предоставлен DSS :: HOME: bobo (7vJLWzv5, wA / Pudyp3f0)
из 10.0.0.124 для / cgi-bin / dacs / dacs_current_credentials
В первых двух сообщениях журнала выше отображается трекер 7vJLWzv5, что означает, что
два запроса, вероятно, исходили от одного и того же (не прошедшего проверку подлинности) пользователя. С третьей
сообщение журнала, пользователь был аутентифицирован и трекер 7vJLWzv5, wA / Pudyp3f0
использовал. Поскольку все эти трекеры имеют один и тот же префикс, первые два запроса
вероятно, также пришел от кого-то, кто прошел аутентификацию как DSS :: HOME: bobo. Последний запрос,
для / cgi-bin / dacs / dacs_current_credentials определенно исходил от этого пользователя. Если это
пользователь должен был выйти из системы, а затем отправить больше запросов на обслуживание в любой точке федерации.
DSS, каждое сообщение журнала будет содержать трекер 7vJLWzv5.
Охрана
Надежно отслеживать запросы анонимных пользователей сложно. А
Подход на основе файлов cookie может быть лучше в некоторых ситуациях, но имеет свои недостатки
(например, быть полностью неэффективным, когда пользователь отключил файлы cookie).
Отслеживание Информация о пользователе Активность
DACS включает функцию, включенную как параметр времени сборки (см. dacs.install(7)[48]), при этом
юрисдикция может отслеживать активность всех своих пользователей (т. е. тех пользователей, которые
аутентифицировать в юрисдикции). Каждое успешное событие аутентификации, явный выход
событие, и событие запроса веб-службы, отправленное пользователем, может быть записано в доме пользователя
юрисдикция в формате, определенном dacs_user_info.dtd[49]. Эта информация может быть
ценно для лучшего понимания того, что происходит в федерации,
включая помощь в диагностике проблем с производительностью и безопасностью. Это основа особенностей
например, отображение недавней активности в учетной записи, а также может использоваться для создания новых
возможности, такие как ограничение одновременного входа в систему или компонент адаптивной аутентификации для
реализовать многоуровневую аутентификацию или аутентификацию на основе рисков.
Чтобы указать, где и как местная юрисдикция должна хранить эти записи, user_info
тип элемента должен быть определен в этой юрисдикции; если он не определен, никакие записи не будут
написано в этой юрисдикции, хотя юрисдикция все равно будет пытаться отправить событие
записи в другие юрисдикции. Для получения максимальной выгоды, функция должна быть включена вообще.
юрисдикции в федерации, поскольку вся активность пользователей в федерации может
быть зарегистрированным.
Если юрисдикция хочет контролировать деятельность своих пользователей в других юрисдикциях, она
должны позволить этим юрисдикциям ссылаться на свои dacs_vfs(8)[50], добавив
соответствующее правило контроля доступа.
Охрана
Для любого такого правила очень важно, чтобы dacs_admin ()[51] предикат.
Внимание
· The dacs_admin(8)[52] tools предоставляет интерфейс к этим записям. Должно
в конечном итоге будет расширен для сбора и организации записей, найденных во всех юрисдикциях
в федерации для облегчения анализа. Поскольку это текстовые файлы с
относительно простой формат, администраторам не составит труда применить
общие инструменты обработки текста или напишите для этой цели короткие пользовательские программы.
Команды, аналогичные последний(1)[53], кто(1)[54] и sa(8)[55] рассматриваются.
· Каждая юрисдикция должна вести записи в свое собственное место (т. Е. Юрисдикции
не должен использовать один и тот же объект VFS для user_info).
· Эта база данных будет расти бесконечно; администратор отвечает за ротацию
или усекая его. Если важна информация о предыдущем и активном входе в систему (см.
dacs_current_credentials(8)[56]), удалить только записи запросов (т. Е. Acs
элементы). Другой приемлемый метод - выбросить (или заархивировать) некоторую часть
старые записи (скажем, половина) и сохранить некоторые из новых записей.
· Формат данных может быть изменен.
· Может быть добавлена директива для включения или отключения этой функции во время выполнения.
· Внутренние административные события не фиксируются.
· Поскольку выход из системы (через dacs_signout(8)[57]) необязательно, конец сеанса
иногда может быть только предположительно или приблизительно на основании истечения срока полномочий или
время последнего записанного события.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
DACS программы и веб-службы получают большую часть информации о конфигурации во время выполнения,
чтение файлов конфигурации и изучение переменных среды. Некоторая конфигурация
информация может быть предоставлена во время компиляции. Несколько флагов командной строки могут использоваться для
переопределить поведение по умолчанию.
Внимание
· Все опции флаги обрабатываются слева направо и должны появляться перед любым
специфичный для команды флаг или аргумент. Первый флаг или аргумент, который не
признан одним из опции завершает список.
· Самое важное опции те, которые определяют местонахождение
файлы конфигурации и определите раздел юрисдикции для использования в
конфигурационный файл. В зависимости от программы и того, как она используется, конфигурация
информация может быть не нужна, может быть необязательной или может потребоваться.
· Максимально один из флагов командной строки для выбора раздела юрисдикции может быть
указано. Ссылаться на dacs.conf(5)[46] для получения дополнительной информации о
файл конфигурации и обработка конфигурации.
Много DACS утилиты распознают следующие стандартные параметры, которые называются
опции:
-c dacs.conf
Это говорит DACS где он может найти файл конфигурации для юрисдикции, на которой
от имени он действует. Если этот аргумент отсутствует, в зависимости от того, как он был построен,
DACS может либо попытаться использовать файл, указанный во время компиляции, либо попытаться использовать
значение переменной окружения DACS_CONF[58]. Подробнее см. Расположение
dacs.conf и site.conf[59].
-Dимя=ценностное
Эффект этого флага заключается в определении переменной имя (который должен быть синтаксически действительным)
в DACS пространство имен, чтобы иметь значение ценностное . Любые цитаты вокруг ценностное сохраняются,
при условии, что скорлупа еще не сняла их. Этот флаг может повторяться. Эти
переменные впоследствии могут быть протестированы во время обработки конфигурации и правила
обработка; например, значение директивы конфигурации может зависеть от
значение опции флаг. Определение имя что соответствует
опции flag не имеет никакого эффекта, кроме создания переменной.
Все опции флаги (без учета этой one) автоматически добавляются в DACS
пространство имен по мере их обработки. Флаг, который является «одиночным» (например, -q) изначально
присваивается значение единицы и увеличивается при каждом последующем появлении. Флаг
форма -флаг ценностное эквивалентна -D-флаг=ценностное . Неиспользуемые флаги не определены; если -q
не дано, $ {DACS :: - q} не будет определяться. Для флагов, у которых есть синонимы,
для каждого синонима создается переменная. Если имя используется явно или неявно,
более поздние значения заменяют более ранние.
Например, если опции составляют:
-c www.example.com -v --verbose -Dfoo = "baz" -ll debug -D-ll = trace
тогда переменные будут определены следующим образом:
$ {DACS :: - c} равно "www.example.com"
$ {DACS :: - v} равно "2"
$ {DACS :: - verbose} равно "2"
$ {DACS :: foo} равно "\" baz \ ""
$ {DACS :: - ll} - "след"
Уровень отладки будет отладочным, а не отслеживаемым.
--dumpenv
Распечатайте все переменные среды в стандартный вывод и немедленно выйдите.
--enable-дамп
По умолчанию DACS веб-службы и большинство команд отключают создание дампа ядра как
меры безопасности. Поскольку дамп ядра может быть полезен при отладке, этот флаг
позволяет его создавать. Поскольку программы, которым разрешено создавать дамп ядра, должны
изменить на DACS_HOME каталог, в него будут записываться дампы ядра. Используйте этот флаг
с осторожностью.
-формат FMT
Формат вывода установлен на FMT, которое является одним из следующих ключевых слов (case
нечувствительный): файл, html, json, php, простой, текст, xml, xmldtd, xmlsimple или
xmlschema. Не все форматы вывода поддерживаются всеми программами. Этот флаг отменяет
любой ФОРМАТ[60] аргумент веб-службы, который, в свою очередь, отменяет значение программы по умолчанию.
формат. Формат по умолчанию зависит от конкретной программы и способа ее вызова.
Для получения дополнительной информации см. описание of ФОРМАТ аргумент [60].
-ll уровень ведения журнала
Уровень ведения журнала установлен на уровень журнала, что является одним из ключевых слов, распознаваемых
ЛОГ_ФИЛЬТР[61] директива.
--лицензия
Распечатать лицензию на DACS на стандартный вывод, а затем немедленно выйдите.
-q
Будь спокоен. Это эквивалентно настройке уровня ведения журнала для предупреждения.
-SC site.conf
Это говорит DACS что он может найти файл конфигурации для юрисдикции, в которой
от имени он действует. Если этот аргумент отсутствует, в зависимости от того, как он был построен,
DACS может либо попытаться использовать файл, указанный во время компиляции, либо попытаться использовать
значение переменной окружения DACS_CONF[58]. Подробнее см. Расположение
dacs.conf и site.conf[59].
--стд
Это отмечает конец общих аргументов. Следующий аргумент командной строки, если таковой имеется, -
специфические для программы.
-t
Выпустить информацию об отслеживании. Это эквивалентно установке уровня ведения журнала для отслеживания.
(Также см debug_dacs[62]).
-u конфигурация-uri
Это инструктирует DACS использовать конфигурация-uri для выбора раздела юрисдикции для использования в
конфигурационный файл. Подробнее см. Команда подсудность Раздел[63].
-удж название юрисдикции
Это инструктирует DACS использовать название юрисдикции название юрисдикции для выбора
раздел юрисдикции для использования в файле конфигурации. Подробнее см. Команда
подсудность Раздел[63].
Ун
Это инструктирует DACS не обрабатывать site.conf или dacs.conf. Это можно использовать только с
небольшое количество команд, таких как даксакл(1)[64] и SSL-клиент(1)[4].
-до название юрисдикции
НЕ РЕАЛИЗОВАНЫ. Это наставляет DACS использовать название юрисдикции название юрисдикции в
выберите раздел юрисдикции для использования в файле конфигурации и сообщает ему, что
веб-сервер действует как прокси-сервер; это, название юрисдикции не
обязательно «владеют» запрошенным URL. Подробнее см. Команда подсудность
Раздел[63].
-нас
Это инструктирует DACS использовать раздел единственной юрисдикции, который появляется в
конфигурационный файл. То есть конфигурационный файл должен содержать ровно один
раздел юрисдикции, и это тот, который следует использовать. Подробнее см.
Команда подсудность Раздел[63].
-v
--подробный
Будьте более подробными относительно текущего уровня ведения журнала. Этот флаг может повторяться.
--версия
Немедленно распечатайте информацию о версии в stderr и выйдите. Если -v появился раньше
в командной строке, а также распечатать информацию о версии для каждого DACS файл исходного кода в
эта программа.
Внимание
Полная информация о версии доступна только для статически связанных программ.
Также см dacsверсия(1)[65] и dacs_version(8)[66].
Функции
Если для указания раздела юрисдикции не задан флаг командной строки, значение параметра
переменная среды DEFAULT_ЮРИСДИКЦИЯ будет использоваться, как если бы задано с -удж флаг.
Это может быть особенно полезно, когда на хосте настроена только одна юрисдикция.
потому что это делает ненужным всегда указывать юрисдикцию для DACS команды.
ОКРУЖАЮЩАЯ СРЕДА
НАЗВАНИЕ СЕРВЕРА, SERVER_PORT, REQUEST_URI
Может использоваться для определения применимой юрисдикции.
Используйте ЦАП онлайн с помощью сервисов onworks.net
