SASL - Simple Authentication and Security Layer

SASL (Simple Authentication and Security Layer) rabite već godinama, a da to možda i ne znate. Radi se o načinu sigurne autentikacije korisnika prema svim mrežnim servisima, no oni moraju imati ugrađenu podršku za SASL. Na ovaj način se izbjegava da svaki servis posebno radi autentikaciju, što može rezultirati sigurnosnim propustima zbog grešaka i propusta u kodu.

SASL, slično PAM-u, može raditi autentikaciju na mnogo načina. Tako korisnike možete autenticirati direktno iz /etc/passwd, odnosno /etc/shadow datoteke (getpwent i shadow metode), Kerberosa, IMAP-a, PAM-a ili LDAP-a. Također, podržava i svoju vlastitu bazu (nalazi se u /etc/sasldb), no uz sve ove mogućnosti, ova zadnja se čini izlišnom.

SASL čini program, odnosno daemon saslauthd, i moduli koji omogućavaju komunikaciju daemona i mrežnog servisa. Moduli definiraju različite chalenge-response mehanizme, kao što su EXTERNAL, ANONYMOUS, PLAIN, OTP (one time password), NTLM, DIGEST-MD5 i druge. Sve ovo zapravo i nije toliko zanimljivo za uobičajenu uporabu, dovoljno je znati da morate imati instaliran paket libsasl2-modules kako bi podržavali sve ove mehanizme.

Saslauthd nema standardnu konfiguracijsku datoteku, nego se podešavanje obavlja u datoteci /etc/default/saslauthd. Postoji nekoliko varijabli koje nam mogu biti zanimljive. No, sa samo dvije možemo puno postići: START i MECHANISMS.

Varijabla START određuje hoće li se saslauthd uopće pokrenuti prilikom pokretanja sustava. Jasno je da bi vrijednost trebala biti:

START="yes"

Varijabla MECHANISMS određuje koje ćemo prije spomenute mehanizme rabiti. Uobičajeno je staviti "pam", jer na taj način rabimo sve načine autentikacije koje ste možda prethodno postavili i prilagodili svojim potrebama:

MECHANISMS="pam"

Ispravno konfiguriranu SASL autentikaciju možete provjerite s alatom testsaslauthd:

# testsaslauthd -u korisnik -p krivipassw
0: NO "authentication failed"

# testsaslauthd -u korisnik -p dobarpassw
0: OK "Success."

Budite oprezni kod izvršavanje ove naredbe, jer će se zaporka vidjeti u popisu procesa (pomoću naredbi "ps" i "top") za vrijeme izvršavanje naredbe testsaslauthd.

Postfix koji dolazi u CARNet paketu eksplicitno zahtijeva da imate instaliran SASL.