Zum Hauptinhalt springen

6.2. Principal Names (Principal-Namen)

Overview (Überblick)

Principal-Namen identifizieren Entitäten (Benutzer, Dienste, Hosts) im Kerberos-System. Jeder Principal ist innerhalb seines Realms eindeutig identifiziert.

Name Structure (Namensstruktur)

Components (Komponenten)

  • Name Type (Namens-Typ): Legt die Interpretation der Namenskomponenten fest
  • Name String (Namenszeichenkette): Sequenz aus einer oder mehreren Komponenten
  • Realm: Verwaltungsdomäne

Format Examples (Formatbeispiele)

  • Benutzer: username@REALM
  • Dienst: service/hostname@REALM
  • Instanz: username/instance@REALM

Name Types (Namens-Typen)

NT-PRINCIPAL (1)

  • Allgemeiner Principal-Name
  • Typischerweise ein Komponente für Benutzer
  • Beispiel: [email protected]

NT-SRV-INST (2)

  • Dienst mit Instanz
  • Zwei Komponenten: Dienst und Instanz
  • Beispiel: krbtgt/[email protected]

NT-SRV-HST (3)

  • Dienst mit Hostname
  • Zwei Komponenten: Dienst und Hostname
  • Beispiel: host/[email protected]

Other Name Types (Weitere Namens-Typen)

  • NT-UID – Eindeutiger Identifier
  • NT-X500-PRINCIPAL – X.500-Name
  • NT-SMTP-NAME – SMTP-Mailname
  • NT-ENTERPRISE – Enterprise-Principal

6.2.1. Name of Server Principals (Namen von Server-Principals)

Service Principal Conventions (Konventionen für Dienst-Principals)

Format: service/hostname@REALM

Häufige Diensttypen:

  • host/ – Host-Dienst
  • HTTP/ – Web-Dienst
  • nfs/ – NFS-Dienst
  • imap/ – Mail-Dienst

Hostname Canonicalization (Hostname-Kanonisierung)

Wichtige Gesichtspunkte:

  • Sollte vollqualifizierte Domänennamen (FQDN) verwenden
  • Groß-/Kleinschreibung wird je nach Implementierung unterschiedlich gehandhabt
  • DARF NICHT auf unsicheres DNS für die Kanonisierung vertraut werden
  • Sicherheitsimplikationen der Namensabbildung

Case Sensitivity (Groß-/Kleinschreibung)

  • Principal-Namenskomponenten sind case-sensitive
  • Realm-Namen sind case-sensitive
  • Vergleiche sind exakte Zeichenkettenübereinstimmungen
  • Implementierungen SOLLTEN die Groß-/Kleinschreibung beibehalten

Security Considerations (Sicherheitsaspekte)

  • Korrekte Namenskanonisierung verhindert Identitätsangriffe (Impersonation)
  • Unsichere Namensauflösung (DNS) nicht vertrauen
  • Dienstnamen sorgfältig validieren
  • Cross-Realm-Namen erfordern zusätzliche Verifikation

Best Practices (Empfohlene Vorgehensweise)

  • Für Dienste vollqualifizierte Hostnamen verwenden
  • Einheitliche Namenskonventionen einhalten
  • Policy für Principal-Namen dokumentieren
  • Namen von Dienst-Principals sorgfältig verwalten

Reference (Referenz)

Die vollständige Spezifikation finden Sie in RFC 4120 Abschnitt 6.2.

Letztes Update am