Hva er Linux Sasl?

Hva er Linux Sasl?

SASL, eller enkel autentisering og sikkerhetslag, er et autentiseringsrammeverk som spesifiserer og beskriver prosessen med å koble autentiseringsmekanismer til applikasjonsprotokoller. Det er en internettstandardramme eller spormetode for å autentisere eksterne datamaskiner.

SASL -rammeverket muliggjør implementering av autentiseringsmekanismer på servere og applikasjoner som bruker IMAP, XMPP, ACAP, LDAP og SMTP -protokoller. Den gir delte biblioteker og applikasjonsutviklere med riktige og pålitelige dataintegritetssjekking, kryptering og autentiseringsmekanismer.

Denne artikkelen gir deg en introduksjon til SASL. Den vil diskutere funksjonene og egenskapene til SASL og hvordan denne rammen fungerer. Dessuten vil denne artikkelen fremheve SASL -arkitekturen og ende ved å beskrive de forskjellige mekanismene som er involvert.

Funksjoner i SASL

Dette godkjenningslaget lar intuitivt utviklere å kode applikasjoner og programmer til et generisk API. Den spesifiserer ikke teknologien for å utføre noen autentisering, da det ansvaret ligger i hver SASL -mekanisme. Dermed er tilnærmingen nyttig for å unngå avhengigheter av spesifikke autentiserings- eller krypteringsmekanismer.

Protokollene nevnte selvfølgelig tidligere støtte SASL. SASL-biblioteket blir populært referert til som Libsasl, et rammeverk som veterinærer og lar de riktige SASL-programmene og applikasjonene bruke SASL-plugins som er tilgjengelige i systemet ditt.

SASL er et rammeverk som er avhengig av forskjellige mekanismer for å styre protokollutvekslingen. Disse plugin-modulene for sikkerhetsmekanisme lar SASL oppgi følgende funksjoner:

  • Autentiser på serversiden
  • Autentiser på klientsiden
  • Sjekk integriteten til de overførte dataene
  • Sikrer konfidensialitet ved å kryptere og dekryptere overførte data

Autorisasjons- og autentiseringsidentifikatorer i SASL

For det første er det viktig å vite forskjellen mellom en autorisasjonsidentifikator i SASL og en autentiseringsidentifikator. Vanligvis er bruker -ID, brukerID eller autorisasjons -ID for SASL en identifikator som enhver Linux -applikasjon bruker for å sjekke alternativene den kan tillate tilgang til og bruke.

På den annen side representerer autentiserings -ID eller Auth ID autentiseringsidentifikatoren. Denne identiteten er identifikatoren som er bundet til å sjekke av systemet. Systemet autentiserer bare brukere hvis identiteter og passord samsvarer med detaljene som er lagret.

Hvordan SASL fungerer

Akkurat som navnet fungerer SASL på en ganske enkel måte. Forhandlingene begynner med at klienten ber om godkjenning fra serveren ved å etablere en tilkobling. Serveren og klienten vil lage kopier av sine respektive lokale eksemplarer av biblioteket (Libsasl) gjennom SAL API. Libsasl vil etablere en forbindelse med de nødvendige SASL -mekanismene via tjenesteleverandørgrensesnittet (SPI).

Serveren vil svare med en liste over alle støttede mekanismer. På den annen side vil klienten svare ved å velge en enkelt mekanisme. Serveren og klienten vil deretter utveksle data til den forespurte autentiseringsprosessen mislykkes eller lykkes. Spesielt vil klienten og serveren vite hvem som er på den andre siden av kanalen.

Illustrasjonen av arkitekturen er i figuren nedenfor:

En illustrasjon av en SMTP -godkjenning er i figuren nedenfor:

De tre første linjene i illustrasjonen inneholder en liste over alle de støttede mekanismene, inkludert Cram-MD5, Digest-MD5 og vanlig, blant andre; De er fra serveren. Følgende linje er fra klienten og indikerer at den valgte Cram-MD5 som den foretrukne mekanismen. Serveren svarer med en melding generert av SASL -funksjoner. Endelig godtar serveren godkjenningen.

Som de fleste rammer støtter SASL "Rike" -konseptet. Og per definisjon er riker sammendrag av brukere. Du vil også oppdage at spesifikke mekanismer bare kan autentisere brukere innenfor visse riker.

Vanlige SASL -mekanismer

Vi har allerede bemerket i de foregående seksjonene at SASL fungerer når serveren viser tilgjengelige mekanismer og klienten velger en av mekanismene for en bestemt autentisering. Så noen av SASL -mekanismene du mest sannsynlig vil samhandle med inkluderer:

Delte hemmelige mekanismer

De to primære andelen hemmelige mekanismer støttet av SASL er Cram-MD5 og Digest-MD5 som kom etter. De er avhengige av suksessen til klienten og serveren som deler en hemmelighet, og denne hemmeligheten vil ofte være et passord. Serveren vil avhøre klienten om denne hemmeligheten. På den annen side skal klienten alltid gi svaret på denne hemmeligheten for å bevise at den kjenner hemmeligheten.

Selv om denne metoden er sikrere enn å sende passord på tvers av nettverk, er dens muligheten avhengig av serverens evne til å holde hemmeligheter i databasen. Et sikkerhetsbrudd på serverdatabasen vil også kompromittere sikkerheten til de lagrede passordene.

Vanlige mekanismer

Utelukkende er denne metoden ganske mindre sikker. Det er derfor ideelt for forbindelser som allerede har andre nivåer av krypteringer. Det fungerer ved å overføre en autentiserings -ID, en bruker -ID og et passord til serveren slik at serveren kan avgjøre om kombinasjonen er riktig og tillatt eller ikke.

Spesielt er den største bekymringen med denne mekanismen hvordan autentiseringsinformasjon og passord blir sjekket og bekreftet.

Kerberos -mekanismer

Endelig har SASL -biblioteket mekanismer som kan bruke Kerberos 4 og Kerberos 5 autentiseringssystemer. Kerberos_v4 -mekanismen kan bruke Kerberos 4, mens GSSAPI kan bruke Kerberos 5. Siden de bruker Kerberos -grensesnittet, trenger de ingen passord.

Konklusjon

Dette godkjenningslaget er nyttig i en rekke Linux -applikasjoner og programmer. Fra denne artikkelen bør du nå ha en ide om hva autentiseringslaget innebærer. Denne artikkelen diskuterer spesifikt funksjonene, arkitekturen og hvordan SASL fungerer i et Linux -miljø. Artikkelen forklarer også kort noen av de vanlige SASL -mekanismene du vil møte.