1.5.1. Compatibility with RFC 1510 (Kompatibilität mit RFC 1510)
1.5.1. Compatibility with RFC 1510 (Kompatibilität mit RFC 1510)
Beachten Sie, dass bestehende Kerberos-Nachrichtenformate nicht ohne weiteres durch Hinzufügen von Feldern zu den ASN.1-Typen erweitert werden können. Das Senden zusätzlicher Felder führt oft dazu, dass die gesamte Nachricht ohne Fehleranzeige verworfen wird. Zukünftige Versionen dieser Spezifikation werden Richtlinien bereitstellen, um sicherzustellen, dass ASN.1-Felder hinzugefügt werden können, ohne ein Interoperabilitätsproblem zu schaffen.
In der Zwischenzeit SOLLTEN alle neuen oder modifizierten Implementierungen von Kerberos, die eine unbekannte Nachrichtenerweiterung empfangen, die Codierung der Erweiterung bewahren, aber ansonsten ihre Anwesenheit ignorieren. Empfänger DÜRFEN NICHT eine Anfrage einfach deshalb ablehnen, weil eine Erweiterung vorhanden ist.
Es gibt eine Ausnahme von dieser Regel. Wenn ein unbekannter Authorization Data Element Type von einem Server empfangen wird, der nicht der Ticket-Granting Service ist, entweder in einem AP-REQ oder in einem Ticket, das in einem AP-REQ enthalten ist, dann MUSS die Authentifizierung fehlschlagen. Eine der primären Verwendungen von Authorization Data ist die Einschränkung der Verwendung des Tickets. Wenn der Dienst nicht bestimmen kann, ob die Einschränkung auf diesen Dienst anwendbar ist, kann eine Sicherheitsschwäche entstehen, wenn das Ticket für diesen Dienst verwendet werden kann. Autorisierungselemente, die optional sind, SOLLTEN im AD-IF-RELEVANT-Element eingeschlossen werden.
Der Ticket-Granting Service MUSS unbekannte Authorization Data Types ignorieren, aber an derivative Tickets weitergeben, es sei denn, diese Datentypen sind in einem MANDATORY-FOR-KDC-Element eingebettet, in diesem Fall wird die Anfrage abgelehnt. Dieses Verhalten ist angemessen, weil die Anforderung, dass der Ticket-Granting Service unbekannte Authorization Data Types versteht, erfordern würde, dass die KDC-Software aktualisiert wird, um neue Einschränkungen auf Anwendungsebene zu verstehen, bevor Anwendungen diese Einschränkungen verwenden, was die Nützlichkeit von Authorization Data als Mechanismus zur Einschränkung der Verwendung von Tickets verringern würde. Es entsteht kein Sicherheitsproblem, da Dienste, für die die Tickets ausgestellt werden, die Autorisierungsdaten überprüfen werden.
Implementierungshinweis: Viele RFC 1510-Implementierungen ignorieren unbekannte Authorization Data Elements. Sich darauf zu verlassen, dass diese Implementierungen Authorization Data-Einschränkungen einhalten, kann eine Sicherheitsschwäche schaffen.