Hallo,
Sven Gehr
Hallo zusammen,
schrieb Andreas Winkelmann: schrieb Sven Gehr:
mal ein generelle Frage zwischendurch. Mein Ziel ist und war die User-Authentifizierung gegen einen LDAP-Server zu realisieren. Der LDAP-Server soll die Passwörter als MD5-Hash speichern
Das hat ja auch schon funktioniert. Allerding sah meine Eingabeaufforderung an der lokalen Maschiene so aus:
I have no name!@testserver:~>
Im Web habe ich einen Hinweis gefunden das würde daran liegen das ich kein SASL benutzen würde. Das, und NUR das war für mich der Grund überhaupt SASL ins Spiel zu bringen.
Das von mir geplante Ziel war ganz einfach die an sich funktionierende LDAP-Installation abzusichern und diesen 'kosmetischen Fehler' zu beheben.
Wenn ich eueren Ausführungen so folge drängt sich mir die Vermutung auf ich hätte SASL zumindest für LDAP nicht gebraucht, richtig?
Wenn ich dann den Rechner sowit habe das ich mich sowohl lokal und per ssh anmelden kann und die Benutzer aus dem LDAP-Verzeichnis mit verschlüsseltem Passwort genommen werden und diese Kommunikation auch noch verschlüsselt ist wären die Dienste:
- samba - cyrus-imap - postfix - squid
hinzugekommen die die User ebenfalls nehmen sollen und auch möglicht sicher bertieben werden sollen. Nur nochmal damit ich nicht den Wald vor lauter Bäumen aus den Augen verlieren.
Also benötige ich SASL für den geplanten Einsatzzweck?
Eine kurze Antwort und eine längere Erklärung :- Samba braucht kein SASL cyrus-imap sollte sasl einsetzen postfix sollte sasl einsetzen squid braucht kein SASL Jetzt in der gebotenen Kürze ein Beschreibung, was denn SASL überhaupt ist. SASL steht für 'Simple Authentication and Security Layer' und ist erst einmal eine API für die C Programmierung, die libsasl. Über diese API (Application Programming Interface) können Anwendungen die Anwender-Authentifizierung vornehmen. SASL wird definiert in der RFC 2222. Die in der RFC erwähnten SASL Mechanisms müssen von der IANA autorisiert werden. Das Paket Cyrus-SASL ist eine Opensource-Enwicklung der Carnegie Mellon University und stellt neben der API (libsasl) und den diversen Plugins (Mechanismen) noch zwei Authentifizierungs-Daemons, saslauthd und pwcheck, sowie eine Anwendung und zwei API's zur Speicherung der Anwender und Paßworte bereit. Die Anwendung ist sasldb, die API's sind auxprop für die Anbindung an SQL und ldapdb. Eine Besonderheit ist, daß sasldb nicht erstellt werden muß, wenn die Anwenderdaten in LDAP gespeichert werden, das bedarf auch keiner Konfiguration, allerdings muß OpenLDAP mit dem Parameter with-spasswd kompiliert werden. Eine Anwendung die mit libsasl kompiliert wurde, findet im Verzeichnis /usr/lib/sasl2/ eine eigene Konfigurationsdatei (Ausnahme cyrus-imap), für Postfix z.B. smtpd.conf, für Sendmail Sendmail.conf, für OpenLDAP slapd.conf. In dieser Konfigurationsdatei bestimmt der Administrator auf welche Weise der Anwender authentifiziert werden soll. Die Dokumentation zu Cyrus-SASL ist mehr als bescheiden, im Quellpaket sind die relevanten RFC's und IETF-Drafts enthalten, sowie sysadmin.html, programming.html, mechanisms.html und readme.html. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de