Zum Hauptinhalt springen

2.7. Transited Policy Checking (Überprüfung der Transited-Richtlinie)

2.7. Transited Policy Checking (Überprüfung der Transited-Richtlinie)

In Kerberos ist der Anwendungsserver letztlich verantwortlich für das Akzeptieren oder Ablehnen der Authentifizierung, und er SOLLTE überprüfen, dass nur angemessen vertrauenswürdige KDCs zur Authentifizierung eines Principals herangezogen werden. Das Feld transited im Ticket identifiziert, welche Realms (und somit welche KDCs) am Authentifizierungsprozess beteiligt waren, und ein Anwendungsserver würde dieses Feld normalerweise überprüfen. Wenn einer von diesen als nicht vertrauenswürdig gilt, um den angegebenen Client-Principal zu authentifizieren (wahrscheinlich durch eine realm-basierte Richtlinie bestimmt), MUSS der Authentifizierungsversuch abgelehnt werden. Die Anwesenheit vertrauenswürdiger KDCs in dieser Liste bietet keine Garantie; ein nicht vertrauenswürdiger KDC könnte die Liste gefälscht haben.

Obwohl der End-Server letztlich entscheidet, ob die Authentifizierung gültig ist, KANN der KDC für das Realm des End-Servers eine realm-spezifische Richtlinie zur Validierung des Transited-Feldes und zur Akzeptanz von Credentials für Realm-übergreifende Authentifizierung anwenden. Wenn der KDC solche Überprüfungen durchführt und solche Realm-übergreifende Authentifizierung akzeptiert, wird er das Flag TRANSITED-POLICY-CHECKED in den Service-Tickets setzen, die er basierend auf dem Realm-übergreifenden TGT ausstellt. Ein Client KANN anfordern, dass die KDCs das Transited-Feld nicht überprüfen, indem er das Flag DISABLE-TRANSITED-CHECK setzt. KDCs werden ermutigt, aber nicht verpflichtet, dieses Flag zu respektieren.

Anwendungsserver MÜSSEN entweder die Transited-Realm-Überprüfungen selbst durchführen oder Realm-übergreifende Tickets ohne gesetztes TRANSITED-POLICY-CHECKED ablehnen.

Letztes Update am