7.2. KDC Messaging: IP Transports (KDC-Nachrichtenübertragung: IP-Transport)
7.2. KDC Messaging: IP Transports (KDC-Nachrichtenübertragung: IP-Transport)
Overview (Überblick)
Kerberos-Clients kommunizieren mit KDCs über UDP oder TCP in IP-Netzwerken. Dieser Abschnitt legt Transportanforderungen und KDC-Auffindungsmechanismen fest.
7.2.1. UDP/IP Transport
Default Behavior (Standardverhalten)
- Der KDC lauscht auf Port 88 (UDP)
- Clients senden Anfragen per UDP
- Geeignet für kleine Nachrichten
Limitations (Einschränkungen)
- Überlegungen zur maximal praktikablen UDP-Paketgröße
- Kann TCP für große Nachrichten erfordern
- Die Netzwerk-MTU beeinflusst die Nutzbarkeit
7.2.2. TCP/IP Transport
When to Use (Einsatz)
- Der KDC lauscht auf Port 88 (TCP)
- Erforderlich für große Nachrichten, die UDP-Grenzen überschreiten
- In manchen Netzumgebungen zuverlässiger
Connection Handling (Verbindungsbehandlung)
- Der Client baut eine TCP-Verbindung auf
- Ein 4-Byte-Längenfeld steht jeder Nachricht voraus
- Die Verbindung kann mehrere Austausche tragen
- Überlegungen zur Verbindungsverwaltung
7.2.3. KDC Discovery on IP Networks (KDC-Auffindung in IP-Netzwerken)
DNS-Based Discovery (DNS-basierte Auffindung)
- SRV-Records für den KDC-Standort
- Format:
_kerberos._udp.REALMund_kerberos._tcp.REALM - Ermöglicht automatische KDC-Auffindung
- Priorität und Gewichtung bei mehreren KDCs
Static Configuration (Statische Konfiguration)
- Manuelle KDC-Adressen in der Client-Konfiguration
krb5.confoder gleichwertig- Fallback, wenn DNS nicht verfügbar ist
Master KDC Discovery (Master-KDC-Auffindung)
_kerberos-master._udp.REALM_kerberos-master._tcp.REALM- Verwendet für Passwortänderungen und administrative Vorgänge
Security Considerations (Sicherheitsüberlegungen)
- DNS-Antworten sind möglicherweise nicht vertrauenswürdig
- DNSSEC wird für sichere KDC-Auffindung empfohlen
- Statische Konfiguration ist sicherer, aber weniger flexibel
Port Numbers (Portnummern)
- Standardport: 88 (sowohl UDP als auch TCP)
- Bei IANA registriert
- Beide Transportschichten sollten unterstützt werden
Reference (Referenz)
Vollständige Transportspezifikationen finden sich in RFC 4120 Abschnitt 7.2.