問題タブ [sasl]

オンラインで見つけたすべてのガイドに従って、svnserve + SASL + OpenLDAP の構成を機能させました。すべてが約 1 日間機能し、svn + ssh で少し遊んだ後、何らかの形で何かを壊したに違いありません。再び機能するようにします。

/srv/svn/repo/conf/authz ファイルに、次のような Active Directory グループをリストしました。

以前は機能していたこれらのグループの各ユーザーの CN を使用していますが、SVN クライアントを認証させる唯一の方法は、authz ファイルでこれらのグループの CN の代わりにユーザー名を指定することです。

これが私の構成です（Gentooシステムでは、セキュリティのためにドメイン名とパスワードを編集しました）：

/etc/conf.d/saslauthd:

/etc/saslauthd.conf:

/etc/sasl2/svn.conf:

/srv/svn/repo/conf/svnserve.conf:

svn+ssh オプションをいじっていたときに何が変わったのかわかりません。それが機能しないことに気付いたときに元に戻すのを忘れていたでしょう。どんな助けでも大歓迎です。

OAuth2.0を使用してimap経由でgmailにアクセスする権限を持つユーザーがいます。OAuth2.0 アクセス トークン (およびリフレッシュ トークン) を持っています。しかし、それを XOAUTH パラメータにマップする方法がわかりません。XOAUTH パラメータを生成するためのすべてのドキュメントは、OAuth1.0 を想定して書かれています。

サンプルコードに従って、これを OAuth1.0 で動作させることができます。しかし、私のサーバーは他の目的で OAuth2.0 を使用しており、同じコードを使用したいと考えています。

node.js で DIGEST-MD5 を実装しようとしていますが、正しく動作していないようです。現在、次の方法で実装しようとしました。

この値を console.log に記録すると (username = "test"、realm = ""、password = "123)、次のように表示されます: "EïSÓ*JÉHF7{"

これを strophe.js の JavaScript 実装 (正しい) と比較すると、次の "EïSÓ*JÉHF7{¢" が出力されます。

それを計算する方法に別の方法はありますか？それとも、ベース文字列のエンコーディングが間違っているのでしょうか?

ありがとう、マイケル

楽しいプロジェクトとして、認証用の SASL メカニズム、特に PLAIN と DIGEST-MD5 をサポートしたいと考えています。

私の質問は、これら 2 つの認証方法をサポートする必要がある場合、ユーザーのパスワードを安全に保存するにはどうすればよいですか?

PLAIN認証のみを使用すると、非常に簡単になります。パスワードをbcryptに保存し、bcrypt_compare関数を使用して、ユーザーが送信したパスワードと保存されたpwを比較するだけです。

しかし、DIGEST-MD5 も可能である必要がある場合、パスワードを安全に保存するにはどうすればよいでしょうか? 計算された応答全体を保存し、それを PLAIN 比較にも使用する必要がありますか? それとも何か他の方法がありますか？

//編集：「楽しい」プロジェクトについて。現時点では楽しいプロジェクトですが、ある時点で楽しくないプロジェクトになるかどうかは誰にもわかりません. 楽しいプロジェクトだからといって、セキュリティを下げたくありません..

postfix サーバーに SASL をセットアップし、オープン リレー テストを実行しました。送信者と受信者の両方が私のドメインにいる場合を除いて、すべてのケースでリレー アクセスが拒否されました (これは私が望んでいることです)。

送信者が localhost の場合を除いて、すべての場合に認証を強制したいと思います。

それを行う方法を見つけようとして検索しましたが、有用なものは見つかりませんでした。これについて少し助けていただければ幸いです、ありがとう。

Sendgridにリレー経由で電子メールを配信するようにPostfixを設定するのに問題があります。

次のエラーが発生します：「認証されていない送信者は許可されていません」

認証を伴うプロジェクトを行っていますが、SASLとgssapiの違いを完全に理解することはできません。gssapiはSASLのカバーの下で使用されていますか？SASLなしでgssapiを使用できますか？正しいことは何ですか？

libsaslを使用する場合、libgssapi_ *とリンクする必要がありますか？

ありがとう。

SVN リポジトリをチェックアウトするときに、Windows 7 で同じ問題が発生し、以下のエラー メッセージが表示された人はいないでしょうか (Macbook では同じ Wifi 接続から完全に動作します)。

すべてのファイアウォールとウイルス対策ソフトウェアをオフにしましたが、うまくいきません

どうもありがとう、ハング

会社の OpenLDAP サーバーを管理するための Web フロントエンドを作成しています。Perl、Apache2、OpenLDAP、Cyrus SASL を使用しています。

問題は、Kerberos 資格情報が転送されず、Apache エラー ログに次のように表示されるため、Web インターフェイスを使用するときに Kerberos 検証済みユーザーとして OpenLDAP に認証できないことです。

ここで、「33」は Apache の uidNumber です。これは理にかなっていますが、問題は解決しません。皮肉なことに、mod_auth_kerb がユーザー名とパスワードを要求し、認証し、チケットをキャッシュし、すべてが機能するため、すべてがレルムの外から機能します。

mod_auth_kerb を使用して Apache2 への認証を行っていますが、正常に動作します。パスワードは要求されず、保護されたページが認証されたユーザーに表示されます (それ以外の場合は拒否されます)。構成の関連フラグメント:

Kerberos/GSSAPI/SASL 認証も正常に機能するため、コマンド ラインから実行すると次のコードが OK になります。

それで、解決策は何でしょうか？

PC ベースの TortoiseSVN とテスト Linux ベースの Subversion サーバーの両方を正常に構成し、正規の Windows Server 2008 R2 LDAP サーバーに対して LDAP ベースのユーザー認証を実行しました。特に、いくつかの構成ファイル間でドメイン名の FQDN の文字の転置を克服することになると、いくつかの作業が必要になりました:)、しかしそれは機能しています.

この世界でもっと学んだ人に確認してもらいたい質問が 1 つあります。特に、この LDAP セットアップが機能しているにもかかわらず、パスワードがプレーンテキストで SVN と saslauthd の間で PLAIN メカニズムを介して送信されていることです。現在、私の読書と実験は、それを回避する方法がないことを示しています-それは正しいですか、それとも重要な部分を見落としていますか?

情報を事前に感謝します。