跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
本节提供有关 SASL 实现的信息。
SASL 插件提供对安全机制、用户标准化和辅助属性检索的支持。缺省情况下,动态装入的 32 位插件安装在 /usr/lib/sasl 中,64 位插件安装在 /usr/lib/sasl/$ISA 中。提供了以下安全机制插件:
CRAM-MD5,仅支持验证,不支持授权。
DIGEST-MD5,支持验证、完整性、保密性和授权。
GSSAPI,支持验证、完整性、保密性和授权。GSSAPI 安全机制需要使用有效的 Kerberos 基础结构。
PLAIN,支持验证和授权。
此外,EXTERNAL 安全机制插件和 INTERNAL 用户标准化插件内置在 libsasl.so.1 中。EXTERNAL 机制支持验证和授权。如果外部安全源提供该机制,则该机制支持完整性和保密性。如果用户名需要,INTERNAL 插件将添加领域名称。
目前,Oracle Solaris 发行版不提供任何 auxprop 插件。要使 CRAM-MD5 和 DIGEST-MD5 机制插件在服务器端发挥完全功能,用户必须提供 auxprop 插件以检索明文口令。PLAIN 插件还需要额外支持才能验证口令。对口令验证的支持包括:对服务器应用程序的回调、auxprop 插件、saslauthd 或 pwcheck。Oracle Solaris 发行版中未提供 salauthd 和 pwcheck 守护进程。要实现更好的互操作性,可使用 mech_list SASL 选项将服务器应用程序限制为可完全运行的机制。
缺省情况下,客户机验证名称设置为 getenv("LOGNAME")。客户机或插件可以重置此变量。
通过使用可在 /etc/sasl/app.conf 文件中设置的选项,可以在服务器端修改 libsasl 和插件的行为。变量 app 是服务器定义的应用程序名称。服务器 app 的文档应指定该应用程序名称。
支持以下选项:
用户成功进行纯文本验证后自动将该用户转换到其他机制。
列出要使用的辅助属性插件的名称。
选择要使用的 canon_user 插件。
列出允许服务器应用程序使用的机制。
列出用于验证口令的机制。目前,auxprop 是唯一允许的值。
设置对验证信息进行高速缓存以便进行快速重新验证的时间(以分钟为单位)。此选项由 DIGEST-MD5 插件使用。将此选项设置为 0 将禁用重新验证。
不支持以下选项:
列出可用机制。不使用该选项是因为它会更改动态装入插件的行为。
定义用于与 saslauthd 守护进程通信的 saslauthd 门的位置。Oracle Solaris 发行版中没有包括 saslauthd 守护进程。因此,也不包括此选项。
定义 GSSAPI 插件使用的 keytab 文件的位置。可使用 KRB5_KTNAME 环境变量而不是此选项来设置缺省的 keytab 位置。
Cyrus SASL 中不包括以下选项。但是,Oracle Solaris 发行版中添加了这些选项: