Che cos'è SASL / GSSAPI?


17

Numerose volte ho incontrato l'espressione SASL / GSSAPI. Ho cercato Google molte volte, ma semplicemente non capisco di cosa si tratta e come si collega a Kerberos.

Qualcuno che ha una spiegazione semplice su questo?

Risposte:


5

SASL e GSSAPI sono framework in cui è possibile collegare vari provider di autenticazione. Le persone che desiderano utilizzare l'autenticazione Kerberos in un'app che supporta SASL o GSSAPI devono solo fornire il plug-in Kerberos appropriato, anziché riscrivere l'app con un codice specifico di Kerberos.


1
In effetti, come ho detto, "SASL ... che possono essere collegati vari provider di autenticazione". Sono due diversi framework in cui è possibile collegare vari provider di autenticazione, come Kerberos o NTLM.
dsolimano,

SASL è più una specifica di implementazione di solito per protocolli basati su testo (come SMTP, IMAP, ecc.). GSSAPI è una definizione dell'interfaccia dell'applicazione per plugin che supportano vari meccanismi di autenticazione. SASL può usare GSSAPI per estendere i suoi meccanismi di autenticazione.
Chris S,

senza fornire un '' 'esempio' '' concreto che il fornitore reale inserisce in quale quadro del mondo reale, la maggior parte delle persone non sa di cosa stai parlando.
dotbit

40

SASL sta per Simple Authentication and Security Layer; è un framework che consente agli sviluppatori di implementare diversi meccanismi di autenticazione e consente ai client e ai server di negoziare un meccanismo reciprocamente accettabile per ogni connessione (piuttosto che codificarli o preconfigurarli).

GSSAPI è l' acronimo di Generic Security Services Application Program Interface; di solito è reso disponibile come uno dei meccanismi che SASL può usare. È esso stesso un altro framework per lo sviluppo e l'implementazione di vari meccanismi di autenticazione. Questi meccanismi includono Kerberos, NTLM e SPNEGO (meccanismo di negoziazione GSSAPI semplice e protetto): uno pseudo-meccanismo GSSAPI che consente ai client compatibili con GSSAPI di negoziare quale meccanismo GSSAPI vogliono usare.

Ecco un esempio per renderlo un po 'più chiaro (brutalmente semplificato per motivi di chiarezza):

  1. Il client si connette al server e dice "Supporto SASL! Come devo autenticarmi?"
  2. Il server riceve la connessione e risponde "Sono anche supportato da SASL e posso utilizzare questi meccanismi, in ordine decrescente di preferenza: GSSAPI, CRAM-MD5, PLAIN".
  3. Il cliente risponde: "Tra le scelte, vorrei usare GSSAPI".
  4. Il server risponde "GSSAPI? Capitale. Supporto Kerberos e NTLM."
  5. Il cliente risponde "Usiamo Kerberos. Ecco il mio biglietto criptato ecc. Ecc."

1
Grazie mille spiegazione molto chiara
mSatyam
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.