6. Naming Constraints (Namenseinschränkungen)
Overview (Überblick)
Dieser Abschnitt spezifiziert die Namenskonventionen und Einschränkungen für Kerberos-Realms und Principals. Korrekte Benennung ist für Interoperabilität und Sicherheit unerlässlich.
6.1. Realm Names (Realm-Namen)
Realm-Namen identifizieren Kerberos-Verwaltungsdomänen.
Conventions (Konventionen)
- Typischerweise domänenähnliche Namen in Großbuchstaben
- Oft basierend auf DNS-Domänennamen
- Hierarchische Struktur wird unterstützt
- Beispiel: EXAMPLE.COM
Requirements (Anforderungen)
- Vergleiche sind case-sensitive
- Sollten keine Leerzeichen enthalten
- Sollten bei Bedarf domänenähnliche Hierarchie verwenden
6.2. Principal Names (Principal-Namen)
Principal-Namen identifizieren Entitäten (Benutzer, Dienste) in Kerberos.
Structure (Struktur)
- Der Namens-Typ legt die Interpretation fest
- Sequenz von Namenskomponenten
- Das Realm identifiziert die Verwaltungsdomäne
- Format: name/instance@REALM
Name Types (Namens-Typen)
- NT-PRINCIPAL – Allgemeiner Principal-Name
- NT-SRV-INST – Dienst mit Instanz
- NT-SRV-HST – Dienst mit Hostname
- NT-UID – Eindeutige ID
- Und weitere
6.2.1. Name of Server Principals (Namen von Server-Principals)
Dienst-Principals folgen besonderen Konventionen:
- Format: service/hostname@REALM
- service bezeichnet den Diensttyp (http, host usw.)
- Der Hostname sollte vollqualifiziert sein
- Gesichtspunkte zu Groß-/Kleinschreibung und Kanonisierung
Security Considerations (Sicherheitsaspekte)
- Korrekte Namenskanonisierung verhindert Identitätsangriffe
- Realm-Vertrauensbeziehungen müssen sorgfältig verwaltet werden
- Dienstnamen SOLLTEN einheitlichen Konventionen folgen
- Nicht auf unsichere Namensauflösung vertrauen
Reference (Referenz)
Vollständige Namensspezifikationen finden Sie in RFC 4120 Abschnitt 6.