Zum Hauptinhalt springen

1.4. Authorization (Autorisierung)

1.4. Authorization (Autorisierung)

Als Authentifizierungsdienst bietet Kerberos ein Mittel zur Überprüfung der Identität von Principals in einem Netzwerk. Authentifizierung ist normalerweise primär als erster Schritt im Prozess der Autorisierung nützlich, bei dem bestimmt wird, ob ein Client einen Dienst nutzen darf, auf welche Objekte der Client zugreifen darf und welche Art von Zugriff für jedes Objekt erlaubt ist. Kerberos bietet für sich allein keine Autorisierung. Der Besitz eines Client-Tickets für einen Dienst ermöglicht nur die Authentifizierung des Clients bei diesem Dienst, und in Abwesenheit einer separaten Autorisierungsprozedur sollte eine Anwendung dies nicht als Autorisierung für die Nutzung dieses Dienstes betrachten.

Separate Autorisierungsmethoden KÖNNEN als anwendungsspezifische Zugriffssteuerungsfunktionen implementiert werden und können Dateien auf dem Anwendungsserver, separat ausgestellte Autorisierungsnachweise wie solche auf Basis von Proxies [Neu93] oder andere Autorisierungsdienste verwenden. Separat authentifizierte Autorisierungsnachweise KÖNNEN in die Autorisierungsdaten eines Tickets eingebettet werden, wenn sie vom KDC-ausgestellten Autorisierungsdatenelement eingekapselt sind.

Anwendungen sollten nicht die bloße Ausstellung eines Service-Tickets durch den Kerberos-Server (auch nicht durch einen modifizierten Kerberos-Server) als Gewährung der Berechtigung zur Nutzung des Dienstes akzeptieren, da solche Anwendungen anfällig für die Umgehung dieser Autorisierungsprüfung in einer Umgebung werden können, in der andere Optionen für die Anwendungsauthentifizierung bereitgestellt werden, oder wenn sie mit anderen KDCs interoperieren.

Letztes Update am