Was ist Linux sasl?

Was ist Linux sasl?

SASL oder einfache Authentifizierungs- und Sicherheitsschicht ist ein Authentifizierungs -Framework, das den Prozess des Anschließens von Authentifizierungsmechanismen in Anwendungsprotokolle angibt und beschreibt. Es handelt.

Das SASL -Framework ermöglicht die Implementierung von Authentifizierungsmechanismen auf Servern und Anwendungen, die IMAP-, XMPP-, ACAP-, LDAP- und SMTP -Protokolle verwenden. Es bietet gemeinsame Bibliotheken und Anwendungsentwickler die richtige und zuverlässige Datenintegritätsprüfung, Verschlüsselung und Authentifizierungsmechanismen.

Dieser Artikel bietet Ihnen eine Einführung in SASL. Es wird die Merkmale und Eigenschaften von SASL und die Funktionsweise dieses Rahmens erörtert. Außerdem wird dieser Artikel die SASL -Architektur hervorheben und enden, indem die verschiedenen beteiligten Mechanismen beschrieben werden.

Merkmale von SASL

Diese Authentifizierungsschicht ermöglicht es Entwicklern intuitiv, Anwendungen und Programme zu einer generischen API zu codieren. Es gibt nicht die Technologie für die Durchführung einer Authentifizierung an, da diese Verantwortung bei jedem SASL -Mechanismus liegt. Somit ist der Ansatz nützlich, um Abhängigkeiten von spezifischen Authentifizierungs- oder Verschlüsselungsmechanismen zu vermeiden.

Natürlich unterstützen die früher genannten Protokolle SASL. Die SASL-Bibliothek wird im Volksmund als LIBSASL bezeichnet, ein Framework, das die richtigen SASL-Programme und -anwendungen ermöglicht, die in Ihrem System verfügbaren SASL-Plug-Ins zu verwenden.

SASL ist ein Rahmen, der auf verschiedenen Mechanismen beruht, um den Protokollaustausch zu regeln. Diese Plug-Ins für Sicherheitsmechanismus ermöglichen es SASL, die folgenden Funktionen bereitzustellen:

  • Authentifizieren auf der serverseitigen Seite
  • Authentifizieren auf der Client-Seite
  • Überprüfen Sie die Integrität der übertragenen Daten
  • Gewährleistet die Vertraulichkeit, indem sie die übertragenen Daten verschlüsseln und entschlüsseln

Autorisierungs- und Authentifizierungskennungen in SASL

Erstens ist es wichtig, den Unterschied zwischen einer Autorisierungskennung in SASL und einer Authentifizierungskennung zu kennen. Normalerweise ist die Benutzer -ID, die BenutzerID oder die Autorisierungs -ID für SASL eine Kennung.

Andererseits repräsentiert die Authentifizierungs -ID oder Authent -ID die Authentifizierungskennung. Diese Identität ist die Kennung, die für die Überprüfung des Systems verpflichtet ist. Das System authentifiziert nur Benutzer, deren Identitäten und Kennwörter mit den gespeicherten Details übereinstimmen.

Wie Sasl funktioniert

Genau wie der Name arbeitet SASL auf ziemlich einfache Weise. Die Verhandlung beginnt damit, dass der Client eine Authentifizierung vom Server anfordert, indem sie eine Verbindung herstellt. Der Server und der Client werden Kopien seiner jeweiligen lokalen Kopien der Bibliothek (LIBSASL) über die SAL -API erstellen. LIBSASL wird eine Verbindung mit den erforderlichen SASL -Mechanismen über die Diensteanbieterschnittstelle (SPI) herstellen.

Der Server antwortet mit einer Liste aller unterstützten Mechanismen. Andererseits wird der Kunde reagieren, indem er einen einzelnen Mechanismus auswählt. Der Server und der Client tauschen dann Daten aus, bis der angeforderte Authentifizierungsprozess fehlschlägt oder erfolgreich ist. Insbesondere wissen Client und Server, wer auf der anderen Seite des Kanals ist.

Die Abbildung der Architektur befindet sich in der folgenden Abbildung:

Eine Darstellung einer SMTP -Authentifizierung finden Sie in der folgenden Abbildung:

Die ersten drei Zeilen in der Abbildung enthalten eine Liste aller unterstützten Mechanismen, einschließlich CRAM-MD5, Digest-MD5 und Plain; Sie stammen vom Server. Die folgende Zeile stammt vom Client und zeigt an, dass sie den CRam-MD5 als bevorzugten Mechanismus gewählt hat. Der Server antwortet mit einer von SASL -Funktionen generierten Nachricht. Schließlich akzeptiert der Server die Authentifizierung.

Wie die meisten Frameworks unterstützt SASL das Konzept „Realms“. Und per Definition sind Bereiche Abstracts von Benutzern. Sie werden auch feststellen, dass bestimmte Mechanismen Benutzer nur in bestimmten Bereichen authentifizieren können.

Gemeinsame SASL -Mechanismen

In den vorherigen Abschnitten haben wir bereits festgestellt, dass SASL arbeitet, wenn der Server die verfügbaren Mechanismen auflistet und der Client einen der Mechanismen für eine bestimmte Authentifizierung wählt. Einige der SASL -Mechanismen, mit denen Sie höchstwahrscheinlich interagieren werden, umfassen:

Gemeinsame geheime Mechanismen

Die beiden von SASL unterstützten geheimen Mechanismen der primären Aktien sind die CRAM-MD5 und der Digest-MD5, der danach kam. Sie verlassen sich auf den Erfolg des Clients und Servers, die ein Geheimnis teilen, und dieses Geheimnis wird oft ein Passwort sein. Der Server wird den Client zu diesem Geheimnis befragen. Andererseits sollte der Kunde immer die Antwort auf dieses Geheimnis geben, um zu beweisen, dass er das Geheimnis kennt.

Während diese Methode sicherer ist als das Senden von Kennwörtern in Netzwerken, hängt ihre Machbarkeit auf die Fähigkeit des Servers ab, Geheimnisse in seiner Datenbank zu halten. Eine Sicherheitsverletzung in der Serverdatenbank beeinträchtigt auch die Sicherheit der gespeicherten Passwörter.

Einfache Mechanismen

Allein diese Methode ist ziemlich weniger sicher. Es ist daher ideal für Verbindungen, die bereits andere Verschlüsselungsstufen haben. Es funktioniert durch Übertragung einer Authentifizierungs -ID, einer Benutzer -ID und eines Kennworts an den Server, damit der Server feststellen kann, ob die Kombination korrekt und zulässig ist oder nicht.

Insbesondere ist das größte Sorge bei diesem Mechanismus, wie die Authentifizierungsanmeldeinformationen und -kennwörter überprüft und verifiziert werden.

Kerberos -Mechanismen

Schließlich verfügt die SASL -Bibliothek über Mechanismen, die Kerberos 4 und Kerberos 5 Authentifizierungssysteme verwenden können. Der Kerberos_V4 -Mechanismus kann den Kerberos 4 verwenden, während der GSSAPI Kerberos 5 verwenden kann. Da sie die Kerberos -Schnittstelle verwenden, benötigen sie keine Passwörter.

Abschluss

Diese Authentifizierungsschicht ist in einer Reihe von Linux -Anwendungen und -programmen hilfreich. Aus diesem Artikel sollten Sie nun eine Vorstellung davon haben, was die Authentifizierungsschicht beinhaltet. In diesem Artikel wird speziell die Funktionen, die Architektur und die Art und Weise erörtert, wie SASL in einer Linux -Umgebung funktioniert. Der Artikel erklärt auch kurz einige der gemeinsamen SASL -Mechanismen, die Sie erfüllen werden.