Am Sonntag, 23. Mai 2004 09:33 schrieb Dieter Kluenter:
Wenn du SASL Mechanismen nutzt und du die Anwender in einem Verzeichnisdienst speicherst, MUSS das Passwort im LDAP-Server als PLAINTEXT enthhalten sein, nicth mit irgendeinr Verschlüselung.
Wieso? Habe es heute mal interessehalber mit nem {MD5}-Passwort probiert und es hat auch anstandslos geklappt.
Was hast du denn versucht?
Der SASL Mechanismus DIGEST-MD5 benötigt ein plaintext Password um aus den ascii Werten eine Challange zu generieren, das würde nicht mit einem, Base64 kodierten, verschlüsselten Paßwort möglich sein.
Nein, mit digest-md5 bzw. cram-md5 geht das natürlich nicht, die brauchen das Klartext-Passwort. Das geht nur mit plain oder login. Damit habe ich es gemacht.
[...]
SASL kennt keinen Mechanismus PAM, alle SASL Mechanismen müssen von der IANA genehmigt werden. Siehe http://www.iana.org/assignments/sasl-mechanisms [...]
Hiermit ist nicht der SASL-Mechanismus gemeint, der zwischen Server und Client sichtbar ist. Beim saslauthd heissen die Optionen "-a pam", "-a ldap",... genialerweise ebenfalls Auth-Mechs.
Ach so, ein susespezifischer Parameter in einer Konfigurationsdatei.
Nicht ganz: # saslauthd -v saslauthd 2.1.18 authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap ^^^^^^^^^^^^^^^^^^^^^^^^^^ Eher Cyrus-Spezifisch ;-) -- Andreas