Au-delà de Linux® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Cyrus SASL-2.1.23

Introduction à Cyrus SASL

Le paquet Cyrus SASL contient une Simple Authentication and Security Layer (simple couche d'authentification et de sécurité), une méthode pour ajouter le support d'authentication aux protocoles basés sur la connexion. Pour utiliser SASL, un protocole inclut une commande d'identification et d'authentification d'un utilisateur sur un serveur et la négociation éventuelle de la protection des interactions consécutives du protocole. Si son utilisation est négociée, une couche de sécurité est insérée entre le protocole et la connexion.

Informations sur le paquet

Dépendances de Cyrus SASL

Requises

OpenSSL-1.0.0e

Facultatives

Linux-PAM-1.1.5, OpenLDAP-2.4.23, Heimdal-1.4 or MIT Kerberos V5-1.6, IcedTea6-1.9.7 or JDK-6 Update 18, MySQL-5.5.17, PostgreSQL-9.0.6, Berkeley DB-5.2.36, SQLite-3.7.8, krb4, et Dmalloc

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/cyrus-sasl

Installation de Cyrus SASL

Installez Cyrus SASL en lançant les commandes suivantes : 

sed -i.bak 's/#elif WITH_DES/#elif defined(WITH_DES)/' \
    plugins/digestmd5.c &&
sed -i 's#DB_VERSION_MAJOR == 4.*#(&) || DB_VERSION_MAJOR == 5#' \
    {sasldb/db_berkeley.c,utils/dbconverter-2.c} &&
./configure --prefix=/usr \
            --sysconfdir=/etc \
            --with-dbpath=/var/lib/sasl/sasldb2 \
            --with-saslauthd=/var/run/saslauthd &&
make

Ce paquet n'est pas fourni avec une suite de tests. Si vous envisagez d'utiliser le mécanisme d'authentification GSSAPI, il est recommandé de le tester après l'installation d'un paquet utilisant le serveur d'échantillon et les programmes client qui ont été construits à l'étape précédente. Vous pouvez trouver des instructions pour effectuer cela sur http://www.linuxfromscratch.org/hints/downloads/files/cyrus-sasl.txt.

Maintenant, en tant qu'utilisateur root : 

make install &&
install -v -m755 -d /usr/share/doc/cyrus-sasl-2.1.23 &&
install -v -m644 doc/{*.{html,txt,fig},ONEWS,TODO} \
    saslauthd/LDAP_SASLAUTHD /usr/share/doc/cyrus-sasl-2.1.23 &&
install -v -m700 -d /var/lib/sasl &&
install -v -m711 -d /var/run/saslauthd

Explication des commandes

sed -i.bak ... plugins/digestmd5.c>:nbsp;: Cela resoud un problème de construction causé par l'utilisation des compilateurs récents.

sed -i 's#DB_VERSION_MAJOR ... : Ceci corrige la compilation contre la version 5 de Berkeley DB-5.2.36.

--with-dbpath=/var/lib/sasl/sasldb2 : Ce paramètre oblige la base de données sasldb à se créer dans /var/lib/sasl au lieu de /etc.

--with-saslauthd=/var/run/saslauthd : Ce paramètre oblige saslauthd à utiliser les données en cours d'exécution de la variable du répertoire /var/run/saslauthd conforme à la FHS.

--with-dblib=gdbm : Ce paramètre oblige l'utilisation de GDBM au lieu de Berkeley DB.

--with-ldap : Ce paramètre active l'utilisation avec OpenLDAP.

--enable-ldapdb : Ce paramètre active le fondement d'authentication LDAPDB. Il y a une dépendance circulaire avec ce paramètre. Voir http://wiki.linuxfromscratch.org/blfs/wiki/cyrus-sasl pour une solution à ce problème.

install -v -m644 ... : Ces commandes installent la documentation qui n'est pas installée par la commande make install.

install -v -m700 -d /var/lib/sasl ... -m711 /var/run/saslauthd : Ces répertoires doivent exister au démarrage de saslauthd ou pendant l'utilisation de l'extension sasldb. Si vous n'allez pas utiliser le démon ou les extensions, vous pouvez vous passer de la création de ce répertoire.

Configuration de Cyrus SASL

Fichiers de configuration

/etc/saslauthd.conf (pour la configuration LDAP de saslauthd) et /etc/sasl2/Appname.conf (où « Appname » est le nom défini de l'application)

Informations de configuration

Voir file:///usr/share/doc/cyrus-sasl-2.1.23/sysadmin.html pour des informations sur ce que contiennent les fichiers de configuration de l'application. Voir file:///usr/share/doc/cyrus-sasl-2.1.23/LDAP_SASLAUTHD pour la configuration de saslauthd avec OpenLDAP.

Script de démarrage

Si vous devez exécuter le démon saslauthd au démarrage du système, installez le script de démarrage /etc/rc.d/init.d/cyrus-sasl fourni dans le paquet blfs-bootscripts-20111226. 

make install-cyrus-sasl
[Note]

Note

Vous devrez modifier le script de démarrage et remplacer le paramètre <authmech> du paramètre -a avec le mécanisme d'authentication que vous désirez.

Contenu

Programmes installés: saslauthd, sasldblistusers2, et saslpasswd2
Bibliothèques installées: libjavasasl.so, libsasl2.so, et de nombreuses extensions SASL et classes Java
Répertoires installés: /usr/include/sasl, /usr/lib/java/classes/sasl, /usr/lib/sasl2, /usr/share/doc/cyrus-sasl-2.1.23, et /var/lib/sasl

Descriptions courtes

saslauthd

est le serveur d'authentication SASL.

sasldblistusers2

est utilisé pour lister les utilisateurs de la base de données de mots de passe SASL sasldb2.

saslpasswd2

est utilisé pour paramétrer et effacer un mot de passe SASL d'utilisateur et des secrets de mécanismes spécifiques dans la base de données de mots de passe SASL sasldb2.

libsasl2.so

est une bibliothèque d'authentication généraliste pour des applications serveur et client.

Last updated on 2011-12-02 18:35:35 +0100