Simple Authentication and Security Layer

Simple Authentication and Security Layer (signifiant « Couche d'authentification et de sécurité simple » ou SASL) est un cadre d'authentification et d'autorisation standardisé par l'IETF.

Le cadre découple les mécanismes d'authentification des protocoles d'application, permettant en théorie à n'importe quel mécanisme d'authentification pris en charge par SASL d'être employé à partir de n'importe quel protocole d'application capable d'utiliser SASL. Les mécanismes d'authentification peuvent également opérer l'autorisation par serveur mandataire, une technique permettant à un utilisateur d'agir au nom d'un autre. Les mécanismes d'authentification peuvent également fournir une couche d'intégrité des données laquelle permet d'offrir des services de sécurité des données et de confidentialité des données. Un exemple connu d'une telle couche d'intégrité des données est DIGEST-MD5. Les protocoles d'application qui proposent SASL prennent très souvent en charge le protocole de sécurisation des échanges TLS en complément des services offerts par SASL.

SASL est au départ apparu dans le RFC 2222[1], écrit par John Meyers alors à l'Université de Carnegie Mellon. La spécification actuelle se trouve dans le RFC 4422[2], écrit par Alexey Melnikov et Kurt Zeilenga. Le RFC 4422[3] rend le RFC 2222[4] obsolète. SASL est actuellement un standard proposé de l'IETF.

Mécanismes SASL

Un mécanisme SASL est conçu comme une série de demandes d'accès et de réponses. Quelques-uns des mécanismes actuellement définis[5] sont :

  • "EXTERNAL", l'authentification est dérivée du contexte (par exemple pour les protocoles employant déjà IPsec ou TLS)
  • "ANONYMOUS", accès anonyme sans authentification.
  • "PLAIN", mot de passe en clair. (PLAIN rend obsolète le mécanisme LOGIN.)
  • "OTP", mécanisme de mot de passe à usage unique. (OTP rend obsolète le mécanisme SKEY.)
  • "SKEY", mécanisme de mot de passe à usage unique S/KEY.
  • "CRAM-MD5", mécanisme basé sur HMAC-MD5.
  • "DIGEST-MD5", mécanisme basé sur MD5 et compatible HTTP. (DIGEST-MD5 fournit une couche d'intégrité des données.)
  • "SCRAM", mécanisme moderne utilisant une authentification challenge-réponse supportant la liaison de canal (RFC 5802[6]).
  • "NTLM", mécanisme d'authentification pour réseau local NT.
  • "GSSAPI", pour l'authentification Kerberos V via GSSAPI. (GSSAPI fournit une couche d'intégrité des données.)

Un ensemble de mécanismes SASL est conçu de manière à pouvoir reconnaître n'importe quel mécanisme GSSAPI.

Applications compatibles SASL

Les protocoles d'application définissent leur représentation des échanges via SASL au moyen d'un profil. Un protocole a un nom de service tel que « ldap » dans une base de registre partagée avec GSSAPI et Kerberos. Les protocoles gérant actuellement SASL incluent BEEP, IMAP, LDAP, POP, SMTP, XMPP ou encore IRC.

Implémentations

Notes et références

  1. (en) « Simple Authentication and Security Layer (SASL) », Request for comments no 2222,
  2. (en) « Simple Authentication and Security Layer (SASL) », Request for comments no 4422,
  3. (en) Request for comments no 4422
  4. (en) Request for comments no 2222
  5. IANA : Simple Authentication and Security Layer (SASL) Mechanisms
  6. (en) Request for comments no 5802
  7. (en) Dovecot SASL
  8. (en) Cyrus SASL, bibliothèque développée et maintenue par l'université Carnegie-Mellon.

Articles connexes

Liens externes

  1. (en) Request for comments no 2222
  2. (en) Request for comments no 4422
  3. (en) Request for comments no 4505

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.