4. The Authentication Protocol Framework (Rahmen des Authentifizierungsprotokolls)
4. The Authentication Protocol Framework (Rahmen des Authentifizierungsprotokolls)
Der Server steuert die Authentifizierung, indem er dem Client mitteilt, welche Authentifizierungsmethoden zu einem gegebenen Zeitpunkt zur Fortsetzung des Austauschs verwendet werden können. Der Client hat die Freiheit, die vom Server aufgelisteten Methoden in beliebiger Reihenfolge zu versuchen. So hat der Server bei Bedarf vollständige Kontrolle über den Authentifizierungsvorgang, bietet aber auch genügend Flexibilität für den Client, die von ihm unterstützten oder für den Benutzer bequemsten Methoden zu nutzen, wenn der Server mehrere Methoden anbietet.
Authentifizierungsmethoden werden durch ihren Namen identifiziert, wie in [SSH-ARCH] definiert. Die Methode „none“ ist reserviert und DARF NICHT als unterstützt aufgeführt werden. Sie KANN jedoch vom Client gesendet werden. Der Server MUSS diese Anfrage stets ablehnen, es sei denn, dem Client soll Zugang ohne jegliche Authentifizierung gewährt werden; in diesem Fall MUSS der Server diese Anfrage akzeptieren. Der Hauptzweck des Sendens dieser Anfrage ist, die Liste der unterstützten Methoden vom Server zu erhalten.
Der Server SOLLTE ein Zeitlimit für die Authentifizierung haben und die Verbindung trennen, wenn die Authentifizierung innerhalb der Frist nicht akzeptiert wurde. Die EMPFOHLENE Zeitspanne beträgt 10 Minuten. Außerdem SOLLTE die Implementierung die Anzahl fehlgeschlagener Authentifizierungsversuche begrenzen, die ein Client in einer einzigen Sitzung ausführen KANN (die EMPFOHLENE Grenze ist 20 Versuche). Wird die Schwelle überschritten, SOLLTE der Server die Verbindung trennen.
Weitere Überlegungen zu Authentifizierungszeitlimits und Wiederholungen finden sich in [ssh-1.2.30].