Проверка подлинности Java на локальном SASL

Question

Я пытаюсь создать класс java для аутентификации пользователей по локальному SASL.Моя конфигурация saslauthd выглядит следующим образом:

$ cat /etc/sysconfig/saslauthd
# Directory in which to place saslauthd's listening socket, pid file, and so
# on.  This directory must already exist.
SOCKETDIR=/run/saslauthd

# Mechanism to use when checking passwords.  Run "saslauthd -v" to get a list
# of which mechanism your installation was compiled with the ablity to use.
MECH=pam

# Additional flags to pass to saslauthd on the command line.  See saslauthd(8)
# for the list of accepted flags.
FLAGS="-t 1"

По сути, он перенаправляет аутентификацию против PAM.Итак, если я делаю, например, такой тест.

testsaslauthd -s login -u <user> -p <password>
0: OK "Success."

Все работает правильно.

Теперь я хочу управлять этим механизмом через Java, поэтому я скомпилировал что-то вроде этого:

import java.util.Arrays;
import java.util.List;
import java.io.*;

public class PamAuthenticator {

    public static void main(String args[]) {

        String s = null;

        try {

            Process p = Runtime.getRuntime().exec("testsaslauthd -s "+args[2]+" -u "+args[0]+" -p "+args[1]);

            BufferedReader stdInput = new BufferedReader(new
                InputStreamReader(p.getInputStream()));

            BufferedReader stdError = new BufferedReader(new
                InputStreamReader(p.getErrorStream()));

            while ((s = stdInput.readLine()) != null) {
                System.out.println(s);
            }

            while ((s = stdError.readLine()) != null) {
                System.out.println(s);
            }

            System.exit(0);
        }
        catch (IOException e) {
            System.out.println("Exception: ");
            e.printStackTrace();
            System.exit(-1);
        }
    }

}

Это правильно работает:

$ java -cp .:* PamAuthenticator <user> <password> login
0: OK "Success."

Моя проблема в том, что я не хочу выполнять команду testsaslauthd, так как это всего лишь тестовая команда.Есть ли что-то лучше и умнее, что я могу сделать, чтобы попробовать аутентификацию против SASL с Java?

Answer 1

Вы на правильном пути, чтобы не использовать код, указанный выше.Помимо того, что это тестовое решение, оно может привести к серьезной проблеме безопасности: command injection.

С Java 1.6 существует интерфейс с именем SaslClient.Это делает именно то, что вам нужно. пример на JDK8 его версии:

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.sasl.Sasl;
import javax.security.sasl.SaslClient;
import javax.security.sasl.SaslException;
import java.util.HashMap;

public class Test {
    public static void main(String[] args) throws SaslException {
        String userName = "username";
        String password = "password";
        SaslClient saslClient = Sasl.createSaslClient(new String[]{"PLAIN"},
                null, null, null, new HashMap<>(), callbacks -> {
                    for (final Callback callback : callbacks) {
                        if (callback instanceof NameCallback) {
                            NameCallback.class.cast(callback).setName(userName);
                            continue;
                        }
                        if (callback instanceof PasswordCallback) {
                            PasswordCallback.class.cast(callback).setPassword(password.toCharArray());
                            continue;
                        }
                        throw new UnsupportedCallbackException(callback);
                    }
                });
    }
}

Конечно, вы должны изменить источник имени пользователя и пароля.