名称
zmq_gssapi - 安全认证和保密性
提要
GSSAPI 机制定义了一种使用通用安全服务应用程序接口 (GSSAPI) 在客户端和服务器之间进行安全通信的认证和保密机制。GSSAPI 机制可在公共网络和私有网络上使用。GSSAPI 本身在 IETF RFC-2743 中定义:http://tools.ietf.org/html/rfc2743。ZeroMQ GSSAPI 机制由本文档定义:https://rfc.zeromq.cn/spec:38。
客户端和服务器角色
使用 GSSAPI 的套接字可以是客户端或服务器,但不能同时是两者。
要成为 GSSAPI 服务器,应用程序需要在套接字上设置 ZMQ_GSSAPI_SERVER 选项。
要成为 GSSAPI 客户端,应用程序需要将 ZMQ_GSSAPI_SERVICE_PRINCIPAL 选项设置为它打算连接的服务器上的主体名称。
在客户端或服务器上,应用程序还可以设置 ZMQ_GSSAPI_PRINCIPAL 选项,为套接字提供应为其获取 GSSAPI 凭据的主体名称。如果未设置此选项,则使用默认凭据。
可选加密
默认情况下,GSSAPI 机制将加密客户端和服务器之间的所有通信。如果不需要加密(例如在私有网络上),客户端和服务器应用程序可以通过设置 ZMQ_GSSAPI_PLAINTEXT 选项来禁用它。客户端和服务器都必须将此选项设置为相同的值。
主体名称
通过 ZMQ_GSSAPI_SERVICE_PRINCIPAL 或 ZMQ_GSSAPI_PRINCIPAL 选项指定的主体名称默认被解释为“基于主机”的名称类型。可以使用 ZMQ_GSSAPI_PRINCIPAL_NAMETYPE 和 ZMQ_GSSAPI_SERVICE_PRINCIPAL_NAMETYPE 选项将名称类型更改为以下之一:
- ZMQ_GSSAPI_NT_HOSTBASED
-
名称应采用“service”或“service@hostname”的形式,这将被解析为本地域中的“service/hostname”主体。这是默认名称类型。
- ZMQ_GSSAPI_NT_USER_NAME
-
名称应为本地用户名,这将被解析为本地域中的单组件主体。
- ZMQ_GSSAPI_NT_KRB5_PRINCIPAL
-
名称是一个主体名称字符串。这种名称类型仅适用于 krb5 GSSAPI 机制。
作者
本页面由 0MQ 社区编写。要进行更改,请阅读 0MQ 贡献政策,地址为 https://zeromq.cn/how-to-contribute/。