Що таке SASL / GSSAPI?

Я безліч разів зустрічав вираз SASL / GSSAPI. Я багато разів шукав Google, але просто не розумію, що це таке і як це стосується Kerberos.

Хтось має просте пояснення з цього приводу?

SASL та GSSAPI - це рамки, до яких можуть підключатися різні постачальники аутентифікації. Людям, які бажають використовувати автентифікацію Kerberos в додатку, що підтримує SASL або GSSAPI, потрібно лише надати відповідний плагін Kerberos, а не перезаписувати додаток зі специфічним для Kerberos кодом.

SASL означає простий рівень аутентифікації та рівня безпеки; це рамка, яка дозволяє розробникам реалізовувати різні механізми аутентифікації, а також дозволяє клієнтам та серверам узгоджувати взаємно прийнятний механізм для кожного з'єднання (а не жорстке кодування чи попереднє їх налаштування).

GSSAPI розшифровується як інтерфейс прикладної програми для загальних служб безпеки; Зазвичай він стає доступним як один із механізмів, якими може скористатися SASL. Це сама по собі ще одна основа для розробки та впровадження різних механізмів аутентифікації. Ці механізми включають Kerberos, NTLM та SPNEGO (простий і захищений механізм переговорів GSSAPI): псевдомеханізм GSSAPI, який дозволяє клієнтам, сумісним з GSSAPI, домовлятися, який механізм GSSAPI вони хочуть використовувати.

Ось приклад, який допоможе зробити це трохи зрозумілішим (брутально спрощеним заради ясності):

1. Клієнт підключається до сервера і каже: "Я підтримую SASL! Як я повинен автентифікувати себе?"
2. Сервер отримує з'єднання і відповідає: "Я також підтримую SASL і можу використовувати ці механізми у порядку зменшення: GSSAPI, CRAM-MD5, PLAIN."
3. Клієнт відповідає: "З варіантів я хотів би скористатися GSSAPI."
4. Сервер відповідає "GSSAPI? Капітал. Я підтримую Kerberos і NTLM."
5. Клієнт відповідає: "Давайте використовувати Kerberos. Ось мій зашифрований квиток і т.д. і т.д."