SASL / GSSAPI nedir?

Birçok kez SASL / GSSAPI ifadesiyle tanıştım. Google'ı birçok kez aradım, ancak bunun ne olduğunu ve Kerberos ile nasıl ilişkili olduğunu anlamıyorum.

Bunun basit bir açıklaması olan var mı?

SASL ve GSSAPI, çeşitli kimlik doğrulama sağlayıcılarının takılabileceği çerçevelerdir. SASL veya GSSAPI'yi destekleyen bir uygulamada Kerberos kimlik doğrulamasını kullanmak isteyen kişilerin, uygulamayı Kerberos'a özgü kodla yeniden yazmak yerine yalnızca uygun Kerberos eklentisini sağlamaları gerekir.

SASL , Basit Kimlik Doğrulama ve Güvenlik Katmanı anlamına gelir; geliştiricilerin farklı kimlik doğrulama mekanizmaları uygulamasına olanak tanıyan ve istemciler ve sunucuların her bağlantı için (sabit kodlama veya ön yapılandırma yerine) karşılıklı olarak kabul edilebilir bir mekanizma üzerinde anlaşmaya izin veren bir çerçevedir.

GSSAPI , Genel Güvenlik Hizmetleri Uygulama Programı Arayüzü anlamına gelir; genellikle SASL'nin kullanabileceği mekanizmalardan biri olarak sunulur. Kendisi çeşitli kimlik doğrulama mekanizmalarını geliştirmek ve uygulamak için başka bir çerçevedir. Bu mekanizmalar Kerberos, NTLM ve SPNEGO'yu (Basit ve Korumalı GSSAPI Müzakere Mekanizması) içerir: GSSAPI uyumlu istemcilerin hangi GSSAPI mekanizmasını kullanmak istediklerini müzakere etmesine izin veren bir GSSAPI sözde mekanizması.

İşte bunu biraz daha açık hale getirmeye yardımcı olacak bir örnek (netlik uğruna vahşice basitleştirilmiş):

1. İstemci sunucuya bağlanır ve "SASL'yi destekliyorum! Kendimi nasıl doğrulamalıyım?"
2. Sunucu bağlantıyı alır ve yanıt verir, "SASL'yi de destekliyorum ve bu mekanizmaları azalan tercih sırasıyla kullanabilir: GSSAPI, CRAM-MD5, PLAIN."
3. Müşteri, "Seçimlerden GSSAPI kullanmak istiyorum."
4. Sunucu yanıt veriyor "GSSAPI? Capital. Kerberos ve NTLM'yi destekliyorum."
5. Müşteri "Kerberos kullanalım. İşte şifreli biletim vs.