Simple Authentication and Security Layer

A Wikipédiából, a szabad enciklopédiából

A Simple Authentication and Security Layer (SASL) egy autentikációs és adatbiztonsági szoftverfejlesztési keretrendszer internetes protokollok számára. Szétválasztja az azonosítási mechanizmusokat az alkalmazásprotokolloktól, elméletben bármilyen SASL által támogatott azonosítási mechanizmust elérhetővé tesz SASL-t használó alkalmazásokban.

Az autentikációs mechanizmusok a proxy autentikációt is támogatják, ami egy felhasználónak lehetőséget ad egy másik felhasználó szerepének betöltésére. Adatbiztonsági réteget is tartalmaz, ezzel adatintegritási és adatbizalmi szolgáltatásokat nyújt.

Például a DIGEST-MD5 eljárás egy olyan mechanizmus, amely adatbiztonsági réteggel hoz létre. A SASL-képes alkalmazások tipikusan támogatják a Transport Layer Security (TLS) protokollt is.

1997-ben John Gardiner Myers a Carnegie Mellon egyetemen írta meg az eredeti SASL specifikációt (RFC 2222). 2006-ban ezt a dokumentumot felváltotta a RFC 4422, amelyet Alexey Melnikov és Kurt Zeilenga írtak.

A SASL egy IETF Standard Track protokoll, 2010-től a Proposed Standard szabványcsoportba tartozik.

SASL mechanizmusok[szerkesztés | forrásszöveg szerkesztése]

Egy SASL mechanizmus kérések és válaszok sorozatát implementálja. A következő SASL mechanizmusok definiáltak[1]:

  • "EXTERNAL", ahol az autentikáció implicit a kontextusban (pl. az IPsec-et vagy TLS-t használó protokollok)
  • "ANONYMOUS", azonosítatlan vendég hozzáféréshez
  • "PLAIN", egy egyszerű szöveges jelszómechanizmus. A PLAIN felváltotta a LOGIN mechanizmust.
  • "OTP", egyszeri bejelentkezést biztosító jelszómechanizmus. OTP felváltotta az SKEY mechanizmust.
  • "SKEY", egy S/KEY mechanizmus.
  • "CRAM-MD5", egy egyszerű kérés-válasz séma, ami HMAC-MD5 protokollra épül.
  • "DIGEST-MD5", HTTP Digest azonosítással kompatibilis kérés-válasz alapú séma, az MD5-öt használja. DIGEST-MD5 adatbiztonsági réteget biztosít.
  • "NTLM", egy NT LAN Manager autentikációs mechanizmus
  • "GSSAPI", Kerberos V5 autentikáció a GSSAPI-n keresztül. GSSAPI adatbiztonsági réteget biztosít.
  • GateKeeper (és GateKeeperPassport), egy kérés-válasz mechanizmus, melyet a Microsoft fejlesztett az MSN Chat számára

A GS2 mechanizmus-család támogat tetszőleges GSS-API mechanizmusokat SASL-ben.[2] Jelenleg szabványosítva van, RFC 5801.

SASL-képes alkalmazásprotokollok

Alkalmazás protokollok a SASL kommunikációs reprezentációjukat profilokkal definiálják. Egy protokollnak van egy szolgáltatás neve (pl. "ldap") egy közös tárban [[Generic Security Services Application Program Interface|GSSAPI]] és Kerberos.[3] szolgáltatásokkal.

2010-ben a SASL-t támogató protokollok közé tartoznak:

Lásd még[szerkesztés | forrásszöveg szerkesztése]

Külső hivatkozások[szerkesztés | forrásszöveg szerkesztése]

  • RFC 4422 - Simple Authentication and Security Layer (SASL) - RFC 2222-t felváltja
  • RFC 4505 - Anonymous Simple Authentication and Security Layer (SASL) Mechanism - RFC 2245-t felváltja
  • The IETF SASL Working Group, chartered to revise existing SASL specifications, as well as to develop a family of GSSAPI mechanisms
  • CMU SASL Information
  • Cyrus SASL, a free and portable SASL library providing generic security for various applications[4]
  • GNU SASL, a free and portable SASL command-line utility and library, distributed under the GNU GPLv3 and LGPLv2.1, respectively
  • Dovecot SASL, an SASL implementation
  • RFC 2831 - Using Digest Authentication as a SASL Mechanism
  • Java SASL API Programming and Deployment Guide

Fordítás[szerkesztés | forrásszöveg szerkesztése]

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

  1. SASL mechanisms
  2. Simon Josefsson: Using GSS-API Mechanisms in SASL: The GS2 Mechanism Family
  3. GSSAPI/Kerberos/SASL Service names
  4. Bartlett, Andrew: GENSEC - Designing a security subsystem (PDF) pp. 13, 2005. április 25. (Hozzáférés: 2010. március 28.) „The idea of a generic security API is not new [...] to implement, by some mechanism or other, a wide variety of these protocols, including SASL, GSS-API, SPNEGO as well as the proprietary NTLMSSP [...] in the wider open source world we see individual applications introduce similar abstraction layers, or adopt the Open Source Cyrus-SASL library to provide one.”