Beyond Linux® From Scratch (Edição systemd ) - Versão 12.4

Capítulo 4. Segurança

Cyrus SASL-2.1.28

Introdução ao Cyrus SASL

O pacote Cyrus SASL contém uma implementação de Autenticação Simples e Camada de Segurança, um método para adicionar suporte de autenticação a protocolos baseados em conexão. Para usar o SASL, um protocolo inclui um comando para identificar e autenticar um(a) usuário(a) em um servidor e, opcionalmente, negociar a proteção de interações subsequentes de protocolo. Se o uso dele for negociado, [então] uma camada de segurança é inserida entre o protocolo e a conexão.

Esse pacote é conhecido por construir e funcionar corretamente usando uma plataforma LFS 12.4.

Informação do Pacote

Transferências Adicionais

Dependências do Cyrus SASL

Recomendadas

lmdb-0.9.33

Opcionais

Linux-PAM-1.7.1, MIT Kerberos V5-1.22.1, MariaDB-11.8.3 ou MySQL, OpenLDAP-2.6.10, PostgreSQL-17.6, sphinx-8.2.3, SQLite-3.50.4, Berkeley DB (deprecated), krb4, Dmalloc e Pod::POM::View::Restructured

Instalação do Cyrus SASL

[Nota]

Nota

Esse pacote não suporta construção paralela.

Primeiro, corrija o pacote para que seja compatível com gcc-15: 

patch -Np1 -i ../cyrus-sasl-2.1.28-gcc15_fixes-1.patch &&
autoreconf -fiv

Também, corrija um problema revelado pelo gcc-14 e posteriores: 

sed '/saslint/a #include <time.h>'       -i lib/saslutil.c &&
sed '/plugin_common/a #include <time.h>' -i plugins/cram.c

Instale o Cyrus SASL executando os seguintes comandos: 

./configure --prefix=/usr                       \
            --sysconfdir=/etc                   \
            --enable-auth-sasldb                \
            --with-dblib=lmdb                   \
            --with-dbpath=/var/lib/sasl/sasldb2 \
            --with-sphinx-build=no              \
            --with-saslauthd=/var/run/saslauthd &&
make -j1

Esse pacote não vem com uma suíte de teste. Se estiver planejando usar o mecanismo de autenticação GSSAPI, [então teste-o depois de instalar o pacote usando os aplicativos de amostra servidor e cliente que foram construídos na etapa anterior. As instruções para realizar os testes podem ser encontradas em https://www.linuxfromscratch.org/hints/downloads/files/cyrus-sasl.txt.

Agora, como o(a) usuário(a) root: 

make install &&
install -v -dm755                         /usr/share/doc/cyrus-sasl-2.1.28/html &&
install -v -m644  saslauthd/LDAP_SASLAUTHD /usr/share/doc/cyrus-sasl-2.1.28      &&
install -v -m644  doc/legacy/*.html        /usr/share/doc/cyrus-sasl-2.1.28/html &&
install -v -dm700 /var/lib/sasl

Explicações do Comando

--with-dbpath=/var/lib/sasl/sasldb2: Essa chave força a base de dados sasldb a ser criada em /var/ lib/sasl em vez de /etc.

--with-saslauthd=/var/run/saslauthd: Essa chave força saslauthd a usar o diretório conforme com FHS /var/run/ saslauthd para dados variáveis de tempo de execução.

--enable-auth-sasldb: Essa chave habilita a estrutura de retaguarda de autenticação SASLDB.

--with-dblib=gdbm: Essa chave força GDBM a ser usado em vez de LMDB.

--with-ldap: Essa chave habilita o suporte OpenLDAP.

--enable-ldapdb: Essa chave habilita a estrutura de retaguarda de autenticação LDAPDB.

--enable-login: Essa opção habilita a autenticação não suportada LOGIN.

--enable-ntlm: Essa opção habilita a autenticação não suportada NTLM.

install -v -m644 ...: Esses comandos instalam a documentação que não é instalada pelo comando make install.

install -v -m700 -d /var/lib/sasl: Esse diretório precisa existir ao iniciar saslauthd ou usar o plug-in sasldb. Se não vai executar o processo de segundo plano ou usar os plugins, [então] você pode omitir a criação desse diretório.

Configurando o Cyrus SASL

Arquivos de Configuração

/etc/saslauthd.conf (para configuração LDAP do saslauthd) e /etc/sasl2/Appname.conf (onde "Appname" é o nome definido do aplicativo do aplicativo)

Informação de Configuração

Veja-se https://www.cyrusimap.org/sasl/sasl/sysadmin.html para informação a respeito do que incluir nos arquivos de configuração do aplicativo.

Veja-se file:///usr/share/doc/cyrus-sasl-2.1.28/LDAP_SASLAUTHD para configuração do saslauthd com o OpenLDAP.

Veja-se https://www.cyrusimap.org/sasl/sasl/gssapi.html#gssapi para configurar o saslauthd com Kerberos.

Unidade do Systemd

Se você precisar executar o processo de segundo plano saslauthd na inicialização do sistema, [então] instale a unidade saslauthd.service incluída no pacote blfs-systemd-units-20241211 usando o seguinte comando: 

make install-saslauthd
[Nota]

Nota

Você precisará modificar /etc/default/saslauthd e modificar o parâmetro MECHANISM com o mecanismo de autenticação desejado. O mecanismo de autenticação padrão é "shadow".

Conteúdo

Aplicativos Instalados: pluginviewer, saslauthd, sasldblistusers2, saslpasswd2 e testsaslauthd
Biblioteca Instalada: libsasl2.so
Diretórios Instalados: /usr/include/sasl, /usr/lib/sasl2, /usr/share/doc/cyrus-sasl-2.1.28 e /var/lib/sasl

Descrições Curtas

pluginviewer

é usado para listar plugins carregáveis SASL e as propriedades deles

saslauthd

é o servidor de autenticação SASL

sasldblistusers2

é usado para listar os(as) usuários(as) na base de dados de senha SASL sasldb2

saslpasswd2

é usado para configurar e para deletar uma senha SASL, e os segredos específicos do mecanismo, do(a) usuário(a) na base de dados de senhas SASL sasldb2

testsaslauthd

é um utilitário de teste para o servidor de autenticação SASL

libsasl2.so

é uma biblioteca de autenticação de uso geral para aplicativos servidor e cliente