论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-06-18 22:49 |只看该作者 |倒序浏览

rfc2829中第四章讲到，简单认证或者sasl的external认证机制可以和tls一起使用。但是在后面的章节中tls也可以和sasl中的其他认证机制在一起使用。在sasl的external认证机制和tls一起使用时，和sasl的其他认证机制和tls使用时有什么区别? 谢谢了。

文库|博客

forxy

稍有积蓄

论坛徽章:: 0

2楼 [报告]

发表于 2008-06-20 16:38 |只看该作者

rfc2829中第四章讲到，简单认证或者sasl的external认证机制可以和tls一起使用。但是在后面的章节中tls也可以和sasl中的其他认证机制在一起使用。在sasl的external认证机制和tls一起使用时，和sasl的其他认证机制和tls使用时有什么区别? 谢谢了。
---------------------------------
可否做如下理解：
在 ldap协议外套tls，即ldap 服务端口是一个ssl端口

此时，ldap可以采用sasl的external认证机制，其实也就是从ssl上下文中直接获取用户信息；
或者采用sasl的md5等其他认证方式(受ssl保护)；

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

hostname

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2008-06-21 12:31 |只看该作者

可否做如下理解：
在 ldap协议外套tls，即ldap 服务端口是一个ssl端口

此时，ldap可以采用sasl的external认证机制，其实也就是从ssl上下文中直接获取用户信息；
或者采用sasl的md5等其他认证方式(受ssl保护)；

谢谢答复。您的意思是下面这样子吗：
在采用sasl的external认证时，使用的是ssl中的用户信息。而当采用sasl的md5等认证方式时，ssl是为了加密数据用的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

forxy

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2008-06-21 13:15 |只看该作者

是的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

hostname

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2008-06-21 15:02 |只看该作者

是的

但是当协商完tls后，supportedSASLMechanisms属性的值只存在external和plain了。此时就没办法再启用digest-md5 sasl或其它sasl认证了吧。

看了一下sun的目录服务器的实现，确实可以有使用tls通道，同时又采用digest-md5 sasl认证的。但rfc提到tls协商完成后supportedSASLMechanisms属性的值只存在external和plain了，这样怎么启用digest-md5 sasl或其它sasl认证呢？

[ 本帖最后由 hostname 于 2008-6-21 18:01 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

forxy

稍有积蓄

论坛徽章:: 0

6楼 [报告]

发表于 2008-06-22 00:06 |只看该作者

当在ldap协议之上套一层ssl时，这个ssl层可以说与ldap协议一点关系都没有了（除了用sasl的external）

所以，ssl层之下，正常的ldap协议该怎么走还是怎么走。得看服务端的sasl允许哪些机制了。
协议没仔细看，但是应该不至于那样。

比如我最开始没用ssl，用的是明文传输，并采用md5
然后我又套上ssl，应该不会对他有影响。

可以试试openldap的。

[ 本帖最后由 forxy 于 2008-6-22 00:08 编辑 ]