SASL
Aus KissDoc
Inhaltsverzeichnis |
Allgemein
Die Abkürzung sasl steht für Simple Authentication and Security Layer und ist in RFC 4422 (alt RFC 2222) spezifiziert. Zur Speicherung wird eine Berkeley DB verwendet, die sich meist in /etc/sasldb2 befindet. Wenn einige Dienste in einer chroot-Umgebung laufen, kann die entsprechende Datenbank auch im jeweiligen chroot-Verzeichnis zu finden sein.
SASL wird von Server-Diensten (z.B. IMAP und SMTP) verwendet um Benutzerauthentifizierungen vorzunehmen.
So z.B. wenn Systemkonten (/etc/passwd + /etc/shadow) nicht als Benutzerkonten für Mailboxen eingesetzt werden sollen - oder die Systemkonten benutzt werden sollen, aber der Prozess selbst nicht als root läuft. Im Allgemeinen kann man sagen, dass SASL verwender wird, um UNIX User von Dienst-Usern getrennt werden sollen.
Installation
Benötigt werden die Packages:
- sasl2-bin
- libasl2
- libasl2-modules
und eventuell weitere für z.B. MySQL oder kerberos.
Zugriff
Zur Verwaltung der Benutzerkonten existiert das Binrary saslpasswd2, welches ähnlich wie smbpasswd und Konsorden funktioniert. Die Rechte auf die Datei sollten im Prinzip so aussehen:
ls -l /etc/sasldb2 # /etc/sasldb2 root sasl -rw- rw- ---
Einen Benutzer Namens sasl selbst wird nicht benötigt, in die Gruppe sasl können dann aber z.B. die Benutzer cyrus aufgenommen werden.
saslauthd
Um die Authentifizierung noch etwas flexibler zu gestalten, z.B. gegen die /etc/shadow oder pam, dann kann man auch einen Daemon namens saslauthd (Package sasl2-bin) benutzen, an denen die Authentifizierungsanfragen gestellt werden. So kann man z.B. beim Cyrus und Exim die Auth-Variante saslauthd einstellen.
Der Daemon arbeitet über eine socket-file in /var/run/saslauthd/mux, welches man bei einigen Diensten, die den saslauthd nutzen wollen, eventuell anpassen muss.
Das entsprechende init-Script /etc/init.d/saslauthd stützt sich dabei Debian-üblich auf /etc/default/saslauthd, wo der Eintrag START=yes zum Start des Daemon zu aktivieren ist. Hier wird auch die Authentifizierungsmethode eingestellt, z.B. PAM, shadow, sasldb, ...
Hinweis: Auch wenn man den saslauthd nicht benutzen will, benötigt man das Package sasl2-bin, da sich dort das Programm saslpasswd2 befindet.
