SASL / GSSAPI คืออะไร

หลายครั้งที่ฉันได้พบนิพจน์ SASL / GSSAPI ฉันค้นหา Google หลายครั้ง แต่ฉันก็ไม่เข้าใจว่ามันคืออะไรและเกี่ยวข้องกับ Kerberos อย่างไร

ใครที่มีคำอธิบายง่ายๆเกี่ยวกับเรื่องนี้?

SASL และ GSSAPI เป็นเฟรมเวิร์กที่ผู้ให้บริการการพิสูจน์ตัวตนที่หลากหลายสามารถเสียบเข้ากับ ผู้ที่ต้องการใช้การรับรองความถูกต้อง Kerberos ในแอปที่สนับสนุน SASL หรือ GSSAPI จำเป็นต้องให้ปลั๊กอิน Kerberos ที่เหมาะสมเท่านั้นแทนที่จะเขียนแอปใหม่ด้วยรหัสเฉพาะ Kerberos

SASLย่อมาจาก Simple Authentication และ Security Layer เป็นเฟรมเวิร์กที่ช่วยให้นักพัฒนาใช้กลไกการพิสูจน์ตัวตนที่แตกต่างกันและอนุญาตให้ไคลเอนต์และเซิร์ฟเวอร์เจรจาต่อรองกลไกที่ยอมรับร่วมกันสำหรับการเชื่อมต่อแต่ละครั้ง (แทนที่จะเป็นการเข้ารหัสแบบยาก

GSSAPIย่อมาจาก Generic Security Services Application Program Interface; มันมักจะทำให้พร้อมใช้งานเป็นหนึ่งในกลไกที่ SASL สามารถใช้ได้ เป็นกรอบการทำงานอื่นสำหรับการพัฒนาและการใช้กลไกการพิสูจน์ตัวตนที่หลากหลาย กลไกเหล่านี้รวมถึง Kerberos, NTLM และSPNEGO (กลไกการเจรจาต่อรองแบบง่ายและได้รับการป้องกัน GSSAPI): กลไกการหลอก GSSAPI ซึ่งช่วยให้ลูกค้าที่เข้ากันได้ GSSAPI สามารถเจรจากลไก GSSAPI ที่พวกเขาต้องการใช้

นี่คือตัวอย่างที่จะช่วยทำให้ชัดเจนขึ้นเล็กน้อย (ลดความเรียบง่ายอย่างไร้ความปราณีเพื่อความชัดเจน):

1. ลูกค้าเชื่อมต่อกับเซิร์ฟเวอร์และพูดว่า "ฉันสนับสนุน SASL! ฉันจะตรวจสอบตัวเองได้อย่างไร"
2. เซิร์ฟเวอร์ได้รับการเชื่อมต่อและตอบสนอง "ฉันยังสนับสนุน SASL และสามารถใช้กลไกเหล่านี้ตามลำดับจากการกำหนดค่าตามความชอบ: GSSAPI, CRAM-MD5, PLAIN"
3. ลูกค้าตอบว่า "จากตัวเลือกฉันต้องการใช้ GSSAPI"
4. เซิร์ฟเวอร์ตอบสนอง "GSSAPI ใช่หรือไม่ฉันสนับสนุน Kerberos และ NTLM"
5. ลูกค้าตอบว่า "มาใช้ Kerberos นี่คือตั๋วเข้ารหัสของฉันเป็นต้น"