Die Cyrus SASL Bibliothek

Cyrus SASL ist eine modulare Bibliothek, die unter anderem einen SASL Authentication Layer implementiert. Die Modulschnittstelle erlaubt das Laden zusätzlicher Module. Dieses bietet Drittherstellern die Möglichkeit eigene Module zu entwickeln, die von allen auf Cyrus SASL aufsetzenden Applikationen genutzt werden können.

Die Cyrus SASL Implementierung bietet einer Applikation verschiedene Funktionalitäten.

• Das Laden von Plugins
• Ermitteln und Auswählen der für den Anwendungsfall erlaubten und/oder möglichen Authentisierugnsverfahren
• Ermittlung der verfügbaren Authentisierungsverfahren (Server)
• Auswahl des günstigsten Verfahrens für den aktuellen Authentisierungsversuch (Client)
• Übermittlung der Authentisierungsdaten an die Applikation
• Daten über den Status des einzelnen Authentisierungs- Vorgangs
• Speicherung der der Passwörter in verschiedenen Datenbanken (Berkeley DB, LDAP, SQL)

Weitere Funktionen der Cyrus SASL Bibliothek

• Base-64 (Encoding und Decoding)
• Zufallszahlen
• Verifizierung der Eingabedaten (z.B. Passwörter)

Plugins

Plugins werden in auxprop (auxillary Property) und Username Canonicalization Plugins unterteilt. Die auxprop Plugins bieten eine Abstraktion für den Zugriff auf unterschiedliche Datenbanken (SQL, LDAP, passwd), während die letztern dazu dienen die Eingabedaten in eine einheitliche Form zu bringen (z.B. den Benutzernamen in Kleinbuchstaben).

Dienste

Cyrus SASL bietet mehrere Dienste zur Verifikation von Passworten an. Der Funktion werden Benutzername und Passwort übergeben. Als Antwort wird "yes" oder "no" zurückgegeben.

Die Konfiguration erfolgt mit Hilfe der "pwcheck_method" option.

auxprop

Der auxprop Dienst nutzt eines der auxprop- Plugins zur Prüfung von Benutzername und Passwort. Zur Konfiguration wird der Parameter "pwcheck_method" auf "auxprop" gesetzt.

saslauthd

Saslauthd ist ein Daemon, der wiederum verschiedene Module (PAM, LDAP, Kerberos, ...) nutzen kann um die Gültigkeit der Authentisierung zu prüfen.

Die korrekte Funktion vno saslauthd kann mit Hilfe des Programms testsaslauthd überprüft werden.

Nur Mechanismen wie PLAIN oder LOGIN erlauben die Authentisierung mit Hilfe von saslauthd. Saslauthd kann wiederum LDAP, PAM oder anderere Schnittstellen nutzen möglich. Bei Nutzung von saslauthd sollten die entsprechenden Module aus dem Plugin-Verzeichnis entfernt oder deren Nutzung mit Hilfe der mech_list Option für den einzelnen Dienst deaktiviert werden.

authdaemond (Courier IMAP)

Cyrus SASL2 kann mit Unterstützung für den authdaemond des Courier Imap Servers (2.2.1) compiliert werden. Zur Konfiguration wird pwcheck_method auf "authdaemond" gesetzt.

pwcheck

Der pwcheck Daemon wurde in Cyrus SASL1 eingesetzt und wird nur noch aus Gründen der Rückwärtskompatibilität unterstützt.

Installation

Die Cyrus SASL Bibliothek sollte aus den Paketen der jeweiligen Distribution installiert werden. Alternativ kann Cyrus SASL auch direkt aus den Quellen compiliert und installiert werden.

Konfiguration

Die Cyrus SASL Bibliothek bietet eine Schnittstelle zum Auslesen der Konfigurationsdaten. Hierbei wird die Konfiguration direkt in den Konfigurationsdateien der Appliaktion oder der Konfiguration der SASL Bibliothek abgelegt.

Die zentrale SASL Konfiguration wird per Voreinstellung unterhalb von /usr/lib/sasl/<applikation>.conf abgelegt. Der Name <applikation> kann von der Applikation festgelegt werden. Die Konfiguration der Applikation überschreibt dabei die Konfiguration unter /usr/lib/sasl.

< zurück  | weiter >