次のセクションでは、SASL の実装についての情報を提供します。
SASL プラグインは、セキュリティーメカニズム、ユーザーの正規化、および補助プロパティーの検索をサポートします。デフォルトでは、動的にロードされる 32 ビットのプラグインは /usr/lib/sasl にインストールされ、64 ビットのプラグインは /usr/lib/sasl/$ISA にインストールされます。次のセキュリティーメカニズムプラグインが提供されます。
CRAM-MD5。認証のみをサポートし、承認はサポートしません
DIGEST-MD5。認証、整合性、機密性のほか、承認もサポートします
GSSAPI。認証、整合性、機密性のほか、承認もサポートします。GSSAPI セキュリティーメカニズムには、機能している Kerberos 基盤が必要です。
PLAIN。認証と承認をサポートします。
さらに、EXTERNAL セキュリティーメカニズムプラグインと INTERNAL ユーザー正規化プラグインが libsasl.so.1 に組み込まれています。EXTERNAL メカニズムは、認証と承認をサポートします。外部のセキュリティーソースによって提供された場合には、整合性と機密性がサポートされます。INTERNAL プラグインは、必要に応じて、レルム名をユーザー名に追加します。
Oracle Solaris リリースは、現時点ではどの auxprop プラグインも提供していません。CRAM-MD5 および DIGEST-MD5 メカニズムプラグインをサーバー側で完全に機能させるには、平文のパスワードを取得するための auxprop プラグインをユーザーが提供する必要があります。PLAIN プラグインには、パスワードを検証するための追加のサポートが必要です。パスワード検証のサポートには、サーバーアプリケーションへのコールバック、auxprop プラグイン、saslauthd、pwcheck のいずれかを使用できます。saslauthd および pwcheck デーモンは、Oracle Solaris リリースでは提供されていません。相互運用性を向上させるために、サーバーアプリケーションは、–mech_list SASL オプションによって完全に機能するメカニズムに制限してください。
デフォルトでは、クライアントの認証名は getenv("LOGNAME") に設定されます。この変数は、クライアントまたはプラグインでリセットできます。
libsasl およびプラグインの動作は、/etc/sasl/app.conf ファイルで設定できるオプションを使用してサーバー側で変更できます。変数 app は、サーバー定義のアプリケーション名です。サーバーのドキュメントでは、app でアプリケーション名が指定されているはずです。
サポートしているオプションは、次のとおりです。
ユーザーが平文認証に成功すると、自動的にそのユーザーをほかのメカニズムに切り替えます。
使用する補助プロパティープラグインの名前を一覧表示します。
使用する canon_user プラグインを選択します。
サーバーアプリケーションが使用可能なメカニズムを列挙します。
パスワードを検証するために使用するメカニズムを列挙します。現時点では、auxprop が唯一の使用可能な値です。
迅速に再認証するために認証情報がキャッシュされる時間の長さを分単位で設定します。このオプションは、DIGEST-MD5 プラグインで使用されます。このオプションを 0 に設定すると、再認証が無効になります。
次のオプションはサポートされません。
使用可能なメカニズムを一覧表示します。このオプションは、プラグインの動的な読み込みの動作を変えるため、使用されなくなりました。
saslauthd デーモンとの通信に使用される saslauthd ドアの場所を定義します。saslauthd デーモンは、Oracle Solaris リリースに組み込まれていません。このため、このオプションも組み込まれていません。
GSSAPI プラグインによって使用される keytab ファイルの場所を定義します。代わりに KRB5_KTNAME 環境変数を使用して、デフォルトの keytab の場所を設定します。
次のオプションは、Cyrus SASL では用意されていません。ただし、Oracle Solaris リリースでは追加されています。