7.5. Protocol Constants and Associated Values (Protokollkonstanten und zugehörige Werte)
7.5. Protocol Constants and Associated Values (Protokollkonstanten und zugehörige Werte)
Die folgenden Tabellen listen Konstanten auf, die im Protokoll verwendet werden, und definieren ihre Bedeutung. Im Abschnitt „Spezifikation“ sind Wertebereiche angegeben, die die Werte von Konstanten begrenzen, für die hier Werte definiert sind. Dadurch können Implementierungen Annahmen über die maximal zu empfangenden Werte dieser Konstanten treffen. Implementierungen, die Werte außerhalb des im Abschnitt „Spezifikation“ angegebenen Bereichs empfangen, KÖNNEN die Anfrage ablehnen, MÜSSEN aber sauber wiederherstellen.
7.5.1. Key Usage Numbers (Schlüsselverwendungsnummern)
Die Verschlüsselungs- und Prüfsummenspezifikationen in [RFC3961] benötigen als Eingabe eine „key usage number“ (Schlüsselverwendungsnummer), um den in einer bestimmten Nachricht verwendeten Verschlüsselungsschlüssel zu variieren und bestimmte kryptografische Angriffe zu erschweren. Folgende Schlüsselverwendungswerte sind in diesem Dokument vergeben:
1. AS-REQ PA-ENC-TIMESTAMP padata-Zeitstempel, verschlüsselt mit dem Clientschlüssel (Abschnitt 5.2.7.2)
2. AS-REP-Ticket und TGS-REP-Ticket (einschließlich TGS-Sitzungsschlüssel oder Anwendungssitzungsschlüssel), verschlüsselt mit dem Dienstschlüssel (Abschnitt 5.3)
3. AS-REP verschlüsselter Teil (einschließlich TGS-Sitzungsschlüssel oder Anwendungssitzungsschlüssel), verschlüsselt mit dem Clientschlüssel (Abschnitt 5.4.2)
4. TGS-REQ KDC-REQ-BODY AuthorizationData, verschlüsselt mit dem TGS-Sitzungsschlüssel (Abschnitt 5.4.1)
5. TGS-REQ KDC-REQ-BODY AuthorizationData, verschlüsselt mit dem TGS-Authenticator-Unterschlüssel (Abschnitt 5.4.1)
6. TGS-REQ PA-TGS-REQ padata AP-REQ-Authenticator-Prüfsumme, mit dem TGS-Sitzungsschlüssel gekeyt (Abschnitt 5.5.1)
7. TGS-REQ PA-TGS-REQ padata AP-REQ-Authenticator (einschließlich TGS-Authenticator-Unterschlüssel), verschlüsselt mit dem TGS-Sitzungsschlüssel (Abschnitt 5.5.1)
8. TGS-REP verschlüsselter Teil (einschließlich Anwendungssitzungsschlüssel), verschlüsselt mit dem TGS-Sitzungsschlüssel (Abschnitt 5.4.2)
9. TGS-REP verschlüsselter Teil (einschließlich Anwendungssitzungsschlüssel), verschlüsselt mit dem TGS-Authenticator-Unterschlüssel (Abschnitt 5.4.2)
10. AP-REQ-Authenticator-Prüfsumme, mit dem Anwendungssitzungsschlüssel gekeyt (Abschnitt 5.5.1)
11. AP-REQ-Authenticator (einschließlich Anwendungs-Authenticator-Unterschlüssel), verschlüsselt mit dem Anwendungssitzungsschlüssel (Abschnitt 5.5.1)
12. AP-REP verschlüsselter Teil (einschließlich Anwendungs-Sitzungs-Unterschlüssel), verschlüsselt mit dem Anwendungssitzungsschlüssel (Abschnitt 5.5.2)
13. KRB-PRIV verschlüsselter Teil, verschlüsselt mit einem von der Anwendung gewählten Schlüssel (Abschnitt 5.7.1)
14. KRB-CRED verschlüsselter Teil, verschlüsselt mit einem von der Anwendung gewählten Schlüssel (Abschnitt 5.8.1)
15. KRB-SAFE-Prüfsumme, gekeyt mit einem von der Anwendung gewählten Schlüssel (Abschnitt 5.6.1)
16–18. Für künftige Verwendung in Kerberos und verwandten Protokollen reserviert.
19. AD-KDC-ISSUED-Prüfsumme (ad-checksum in 5.2.6.4)
20–21. Für künftige Verwendung in Kerberos und verwandten Protokollen reserviert.
22–25. Reserviert für die Kerberos-Version-5-GSS-API-Mechanismen [RFC4121].
26-511. Reserved for future use in Kerberos and related
protocols.
512-1023. Reserved for uses internal to a Kerberos implementation.
1024. Verschlüsselung für Anwendungszwecke in Protokollen, die keine Schlüsselverwendungswerte festlegen
1025. Prüfsummen für Anwendungszwecke in Protokollen, die keine Schlüsselverwendungswerte festlegen
1026–2047. Für Anwendungszwecke reserviert.
7.5.2. PreAuthentication Data Types (Pre-Authentifizierungsdatentypen)
Padata und Datentyp Padata-type Kommentar
PA-TGS-REQ 1
PA-ENC-TIMESTAMP 2
PA-PW-SALT 3
[reserved] 4
PA-ENC-UNIX-TIME 5 (veraltet)
PA-SANDIA-SECUREID 6
PA-SESAME 7
PA-OSF-DCE 8
PA-CYBERSAFE-SECUREID 9
PA-AFS3-SALT 10
PA-ETYPE-INFO 11
PA-SAM-CHALLENGE 12 (sam/otp)
PA-SAM-RESPONSE 13 (sam/otp)
PA-PK-AS-REQ_OLD 14 (pkinit)
PA-PK-AS-REP_OLD 15 (pkinit)
PA-PK-AS-REQ 16 (pkinit)
PA-PK-AS-REP 17 (pkinit)
PA-ETYPE-INFO2 19 (ersetzt pa-etype-info)
PA-USE-SPECIFIED-KVNO 20
PA-SAM-REDIRECT 21 (sam/otp)
PA-GET-FROM-TYPED-DATA 22 (eingebettet in typisierte Daten)
TD-PADATA 22 (bettet padata ein)
PA-SAM-ETYPE-INFO 23 (sam/otp)
PA-ALT-PRINC 24 ([email protected])
PA-SAM-CHALLENGE2 30 ([email protected])
PA-SAM-RESPONSE2 31 ([email protected])
PA-EXTRA-TGT 41 Zusätzliches TGT reserviert
TD-PKINIT-CMS-CERTIFICATES 101 CertificateSet aus CMS
TD-KRB-PRINCIPAL 102 PrincipalName
TD-KRB-REALM 103 Realm
TD-TRUSTED-CERTIFIERS 104 aus PKINIT
TD-CERTIFICATE-INDEX 105 aus PKINIT
TD-APP-DEFINED-ERROR 106 anwendungsspezifisch
TD-REQ-NONCE 107 INTEGER
TD-REQ-SEQ 108 INTEGER
PA-PAC-REQUEST 128 ([email protected])
7.5.3. Address Types (Adresstypen)
Adresstyp Wert
IPv4 2
Directional 3
ChaosNet 5
XNS 6
ISO 7
DECNET Phase IV 12
AppleTalk DDP 16
NetBios 20
IPv6 24
7.5.4. Authorization Data Types (Autorisierungsdatentypen)
Autorisierungsdatentyp Ad-type-Wert
AD-IF-RELEVANT 1
AD-INTENDED-FOR-SERVER 2
AD-INTENDED-FOR-APPLICATION-CLASS 3
AD-KDC-ISSUED 4
AD-AND-OR 5
AD-MANDATORY-TICKET-EXTENSIONS 6
AD-IN-TICKET-EXTENSIONS 7
AD-MANDATORY-FOR-KDC 8
Reservierte Werte 9-63
OSF-DCE 64
SESAME 65
AD-OSF-DCE-PKI-CERTID 66 ([email protected])
AD-WIN2K-PAC 128 ([email protected])
AD-ETYPE-NEGOTIATION 129 ([email protected])
7.5.5. Transited Encoding Types (Kodierungstypen für „transited“)
Kodierungstyp für „transited“ Tr-type-Wert
DOMAIN-X500-COMPRESS 1
Reservierte Werte alle übrigen
7.5.6. Protocol Version Number (Protokollversionsnummer)
Bezeichnung Wert Bedeutung oder MIT-Code
pvno 5 Aktuelle Kerberos-Protokollversionsnummer
7.5.7. Kerberos Message Types (Kerberos-Nachrichtentypen)
Nachrichtentyp Wert Bedeutung
KRB_AS_REQ 10 Anfrage auf initiale Authentifizierung
KRB_AS_REP 11 Antwort auf KRB_AS_REQ
KRB_TGS_REQ 12 Anfrage auf Authentifizierung auf Basis des TGT
KRB_TGS_REP 13 Antwort auf KRB_TGS_REQ
KRB_AP_REQ 14 Anwendungsanfrage an den Server
KRB_AP_REP 15 Antwort auf KRB_AP_REQ_MUTUAL
KRB_RESERVED16 16 Reserviert für User-to-User krb_tgt_request
KRB_RESERVED17 17 Reserviert für User-to-User krb_tgt_reply
KRB_SAFE 20 Sichere (geprüfsummte) Anwendungsnachricht
KRB_PRIV 21 Private (verschlüsselte) Anwendungsnachricht
KRB_CRED 22 Private (verschlüsselte) Nachricht zum Weiterleiten von Credentials
KRB_ERROR 30 Fehlerantwort
7.5.8. Name Types (Namtypen)
Namtyp Wert Bedeutung
KRB_NT_UNKNOWN 0 Namtyp unbekannt
KRB_NT_PRINCIPAL 1 Nur der Principal-Name wie in DCE oder für Benutzer
KRB_NT_SRV_INST 2 Dienst und weitere eindeutige Instanz (krbtgt)
KRB_NT_SRV_HST 3 Dienst mit Rechnernamen als Instanz (telnet, rcommands)
KRB_NT_SRV_XHST 4 Dienst mit Host als verbleibende Komponenten
KRB_NT_UID 5 Eindeutige ID
KRB_NT_X500_PRINCIPAL 6 Kodierter X.509-Distinguished-Name [RFC2253]
KRB_NT_SMTP_NAME 7 Name in Form einer SMTP-E-Mail-Adresse (z. B. [email protected])
KRB_NT_ENTERPRISE 10 Enterprise-Name; kann auf einen Principal-Namen abgebildet werden
7.5.9. Error Codes (Fehlercodes)
Fehlercode Wert Bedeutung
KDC_ERR_NONE 0 Kein Fehler
KDC_ERR_NAME_EXP 1 Eintrag des Clients in der Datenbank abgelaufen
KDC_ERR_SERVICE_EXP 2 Eintrag des Servers in der Datenbank abgelaufen
KDC_ERR_BAD_PVNO 3 Angeforderte Protokollversion nicht unterstützt
KDC_ERR_C_OLD_MAST_KVNO 4 Schlüssel des Clients mit altem Master-Key verschlüsselt
KDC_ERR_S_OLD_MAST_KVNO 5 Schlüssel des Servers mit altem Master-Key verschlüsselt
KDC_ERR_C_PRINCIPAL_UNKNOWN 6 Client in Kerberos-Datenbank nicht gefunden
KDC_ERR_S_PRINCIPAL_UNKNOWN 7 Server in Kerberos-Datenbank nicht gefunden
KDC_ERR_PRINCIPAL_NOT_UNIQUE 8 Mehrere Principal-Einträge in der Datenbank
KDC_ERR_NULL_KEY 9 Client oder Server hat einen Null-Schlüssel
KDC_ERR_CANNOT_POSTDATE 10 Ticket nicht für Nachtragung geeignet
KDC_ERR_NEVER_VALID 11 Angeforderter Startzeitpunkt liegt nach Endzeit
KDC_ERR_POLICY 12 KDC-Richtlinie lehnt Anfrage ab
KDC_ERR_BADOPTION 13 KDC kann gewünschte Option nicht erfüllen
KDC_ERR_ETYPE_NOSUPP 14 KDC unterstützt Verschlüsselungstyp nicht
KDC_ERR_SUMTYPE_NOSUPP 15 KDC unterstützt Prüfsummen-Typ nicht
KDC_ERR_PADATA_TYPE_NOSUPP 16 KDC unterstützt padata-Typ nicht
KDC_ERR_TRTYPE_NOSUPP 17 KDC unterstützt transited-Typ nicht
KDC_ERR_CLIENT_REVOKED 18 Credentials des Clients widerrufen
KDC_ERR_SERVICE_REVOKED 19 Credentials des Servers widerrufen
KDC_ERR_TGT_REVOKED 20 TGT widerrufen
KDC_ERR_CLIENT_NOTYET 21 Client noch nicht gültig; später erneut versuchen
KDC_ERR_SERVICE_NOTYET 22 Server noch nicht gültig; später erneut versuchen
KDC_ERR_KEY_EXPIRED 23 Passwort abgelaufen; Passwortänderung erforderlich
KDC_ERR_PREAUTH_FAILED 24 Pre-Authentifizierungsinformation ungültig
KDC_ERR_PREAUTH_REQUIRED 25 Zusätzliche Pre-Authentifizierung erforderlich
KDC_ERR_SERVER_NOMATCH 26 Angeforderter Server und Ticket stimmen nicht überein
KDC_ERR_MUST_USE_USER2USER 27 Server-Principal nur für User-to-User gültig
KDC_ERR_PATH_NOT_ACCEPTED 28 KDC-Richtlinie lehnt transited-Pfad ab
KDC_ERR_SVC_UNAVAILABLE 29 Ein Dienst ist nicht verfügbar
KRB_AP_ERR_BAD_INTEGRITY 31 Integritätsprüfung auf entschlüsseltem Feld fehlgeschlagen
KRB_AP_ERR_TKT_EXPIRED 32 Ticket abgelaufen
KRB_AP_ERR_TKT_NYV 33 Ticket noch nicht gültig
KRB_AP_ERR_REPEAT 34 Anfrage ist eine Wiederholung (Replay)
KRB_AP_ERR_NOT_US 35 Ticket ist nicht für uns
KRB_AP_ERR_BADMATCH 36 Ticket und Authenticator stimmen nicht überein
KRB_AP_ERR_SKEW 37 Uhrabweichung zu groß
KRB_AP_ERR_BADADDR 38 Falsche Netzadresse
KRB_AP_ERR_BADVERSION 39 Protokollversionskonflikt
KRB_AP_ERR_MSG_TYPE 40 Ungültiger Nachrichtentyp
KRB_AP_ERR_MODIFIED 41 Nachrichtenstrom verändert
KRB_AP_ERR_BADORDER 42 Nachricht in falscher Reihenfolge
KRB_AP_ERR_BADKEYVER 44 Angeforderte Schlüsselversion nicht verfügbar
KRB_AP_ERR_NOKEY 45 Dienstschlüssel nicht verfügbar
KRB_AP_ERR_MUT_FAIL 46 Gegenseitige Authentifizierung fehlgeschlagen
KRB_AP_ERR_BADDIRECTION 47 Falsche Nachrichtenrichtung
KRB_AP_ERR_METHOD 48 Alternative Authentifizierungsmethode erforderlich
KRB_AP_ERR_BADSEQ 49 Falsche Sequenznummer in der Nachricht
KRB_AP_ERR_INAPP_CKSUM 50 Ungeeigneter Prüfsummen-Typ in der Nachricht
KRB_AP_PATH_NOT_ACCEPTED 51 Richtlinie lehnt transited-Pfad ab
KRB_ERR_RESPONSE_TOO_BIG 52 Antwort zu groß für UDP; mit TCP wiederholen
KRB_ERR_GENERIC 60 Allgemeiner Fehler (Beschreibung in e-text)
KRB_ERR_FIELD_TOOLONG 61 Feld für diese Implementierung zu lang
KDC_ERROR_CLIENT_NOT_TRUSTED 62 Reserviert für PKINIT
KDC_ERROR_KDC_NOT_TRUSTED 63 Reserviert für PKINIT
KDC_ERROR_INVALID_SIG 64 Reserviert für PKINIT
KDC_ERR_KEY_TOO_WEAK 65 Reserviert für PKINIT
KDC_ERR_CERTIFICATE_MISMATCH 66 Reserviert für PKINIT
KRB_AP_ERR_NO_TGT 67 Kein TGT zur Validierung von USER-TO-USER verfügbar
KDC_ERR_WRONG_REALM 68 Reserviert für künftige Verwendung
KRB_AP_ERR_USER_TO_USER_REQUIRED 69 Ticket muss für USER-TO-USER sein
KDC_ERR_CANT_VERIFY_CERTIFICATE 70 Reserviert für PKINIT
KDC_ERR_INVALID_CERTIFICATE 71 Reserviert für PKINIT
KDC_ERR_REVOKED_CERTIFICATE 72 Reserviert für PKINIT
KDC_ERR_REVOCATION_STATUS_UNKNOWN 73 Reserviert für PKINIT
KDC_ERR_REVOCATION_STATUS_UNAVAILABLE 74 Reserviert für PKINIT
KDC_ERR_CLIENT_NAME_MISMATCH 75 Reserviert für PKINIT
KDC_ERR_KDC_NAME_MISMATCH 76 Reserviert für PKINIT