Che cos'è SASL / GSSAPI?

Numerose volte ho incontrato l'espressione SASL / GSSAPI. Ho cercato Google molte volte, ma semplicemente non capisco di cosa si tratta e come si collega a Kerberos.

Qualcuno che ha una spiegazione semplice su questo?

SASL e GSSAPI sono framework in cui è possibile collegare vari provider di autenticazione. Le persone che desiderano utilizzare l'autenticazione Kerberos in un'app che supporta SASL o GSSAPI devono solo fornire il plug-in Kerberos appropriato, anziché riscrivere l'app con un codice specifico di Kerberos.

SASL sta per Simple Authentication and Security Layer; è un framework che consente agli sviluppatori di implementare diversi meccanismi di autenticazione e consente ai client e ai server di negoziare un meccanismo reciprocamente accettabile per ogni connessione (piuttosto che codificarli o preconfigurarli).

GSSAPI è l' acronimo di Generic Security Services Application Program Interface; di solito è reso disponibile come uno dei meccanismi che SASL può usare. È esso stesso un altro framework per lo sviluppo e l'implementazione di vari meccanismi di autenticazione. Questi meccanismi includono Kerberos, NTLM e SPNEGO (meccanismo di negoziazione GSSAPI semplice e protetto): uno pseudo-meccanismo GSSAPI che consente ai client compatibili con GSSAPI di negoziare quale meccanismo GSSAPI vogliono usare.

Ecco un esempio per renderlo un po 'più chiaro (brutalmente semplificato per motivi di chiarezza):

1. Il client si connette al server e dice "Supporto SASL! Come devo autenticarmi?"
2. Il server riceve la connessione e risponde "Sono anche supportato da SASL e posso utilizzare questi meccanismi, in ordine decrescente di preferenza: GSSAPI, CRAM-MD5, PLAIN".
3. Il cliente risponde: "Tra le scelte, vorrei usare GSSAPI".
4. Il server risponde "GSSAPI? Capitale. Supporto Kerberos e NTLM."
5. Il cliente risponde "Usiamo Kerberos. Ecco il mio biglietto criptato ecc. Ecc."