SASL（参考）

本节提供有关 SASL 实现的信息。

SASL 插件

SASL 插件提供对安全机制、用户标准化和辅助属性检索的支持。缺省情况下，动态装入的 32 位插件安装在 /usr/lib/sasl 中，64 位插件安装在 /usr/lib/sasl/$ISA 中。提供了以下安全机制插件：

crammd5.so.1

CRAM-MD5，仅支持验证，不支持授权。

digestmd5.so.1

DIGEST-MD5，支持验证、完整性、保密性和授权。

gssapi.so.1

GSSAPI，支持验证、完整性、保密性和授权。GSSAPI 安全机制需要使用有效的 Kerberos 基础结构。

plain.so.1

PLAIN，支持验证和授权。

此外，EXTERNAL 安全机制插件和 INTERNAL 用户标准化插件内置在 libsasl.so.1 中。EXTERNAL 机制支持验证和授权。如果外部安全源提供该机制，则该机制支持完整性和保密性。如果用户名需要，INTERNAL 插件将添加领域名称。

目前，Oracle Solaris 发行版不提供任何 auxprop 插件。要使 CRAM-MD5 和 DIGEST-MD5 机制插件在服务器端发挥完全功能，用户必须提供 auxprop 插件以检索明文口令。PLAIN 插件还需要额外支持才能验证口令。对口令验证的支持包括：对服务器应用程序的回调、auxprop 插件、saslauthd 或 pwcheck。Oracle Solaris 发行版中未提供 salauthd 和 pwcheck 守护进程。要实现更好的互操作性，可使用 mech_list SASL 选项将服务器应用程序限制为可完全运行的机制。

SASL 环境变量

缺省情况下，客户机验证名称设置为 getenv("LOGNAME")。客户机或插件可以重置此变量。

SASL 选项

通过使用可在 /etc/sasl/app.conf 文件中设置的选项，可以在服务器端修改 libsasl 和插件的行为。变量 app 是服务器定义的应用程序名称。服务器 app 的文档应指定该应用程序名称。

支持以下选项：

auto_transition

用户成功进行纯文本验证后自动将该用户转换到其他机制。

auxprop_login

列出要使用的辅助属性插件的名称。

canon_user_plugin

选择要使用的 canon_user 插件。

mech_list

列出允许服务器应用程序使用的机制。

pwcheck_method

列出用于验证口令的机制。目前，auxprop 是唯一允许的值。

reauth_timeout

设置对验证信息进行高速缓存以便进行快速重新验证的时间（以分钟为单位）。此选项由 DIGEST-MD5 插件使用。将此选项设置为 0 将禁用重新验证。

不支持以下选项：

plugin_list

列出可用机制。不使用该选项是因为它会更改动态装入插件的行为。

saslauthd_path

定义用于与 saslauthd 守护进程通信的 saslauthd 门的位置。Oracle Solaris 发行版中没有包括 saslauthd 守护进程。因此，也不包括此选项。

keytab

定义 GSSAPI 插件使用的 keytab 文件的位置。可使用 KRB5_KTNAME 环境变量而不是此选项来设置缺省的 keytab 位置。

Cyrus SASL 中不包括以下选项。但是，Oracle Solaris 发行版中添加了这些选项：

use_authid

创建 GSS 客户机安全上下文时获取客户机凭证而不是使用缺省凭证。缺省情况下，将使用缺省客户机 Kerberos 身份。

log_level

为服务器设置所需的日志记录级别。