Le Service d'Authentification Réseau Kerberos (V5)

• Statut: Proposed Standard
• Publié: July 2005
• Stream: IETF
• Remplace: RFC1510
• Errata: Pas d'errata

---

Statut de ce Mémo

Ce document spécifie un protocole de suivi des normes Internet pour la communauté Internet et demande des discussions et des suggestions pour des améliorations. Veuillez vous référer à l'édition actuelle des "Internet Official Protocol Standards" (STD 1) pour connaître l'état de normalisation et le statut de ce protocole. La distribution de ce mémo est illimitée.

Notice de Copyright

Copyright (C) The Internet Society (2005).

Résumé

Ce document fournit un aperçu et une spécification de la version 5 du protocole Kerberos, et il rend obsolète le RFC 1510 afin de clarifier les aspects du protocole et son utilisation prévue qui nécessitent une explication plus détaillée ou plus claire que celle fournie dans le RFC 1510. Ce document est destiné à fournir une description détaillée du protocole, adaptée à l'implémentation, ainsi que des descriptions de l'utilisation appropriée des messages du protocole et des champs au sein de ces messages.

Table des Matières

• 1. Introduction
  • 1.1. Le Protocole Kerberos
  • 1.2. Opération Inter-Domaines
  • 1.3. Choisir un Principal avec Lequel Communiquer
  • 1.4. Autorisation
  • 1.5. Étendre Kerberos sans Rompre l'Interopérabilité
    • 1.5.1. Compatibilité avec RFC 1510
    • 1.5.2. Envoi de Messages Extensibles
  • 1.6. Hypothèses Environnementales
  • 1.7. Glossaire des Termes
• 2. Utilisations et Demandes des Indicateurs de Ticket
  • 2.1. Tickets Initiaux, Pré-authentifiés et Authentifiés par Matériel
  • 2.2. Tickets Invalides
  • 2.3. Tickets Renouvelables
  • 2.4. Tickets Postdatés
  • 2.5. Tickets Proxyables et Proxy
  • 2.6. Tickets Transmissibles
  • 2.7. Vérification de la Politique de Transit
  • 2.8. OK as Delegate
  • 2.9. Autres Options KDC
    • 2.9.1. Renewable-OK
    • 2.9.2. ENC-TKT-IN-SKEY
    • 2.9.3. Authentification par Matériel sans Mot de Passe
• 3. Échanges de Messages
  • 3.1. L'Échange du Service d'Authentification
    • 3.1.1. Génération du Message KRB_AS_REQ
    • 3.1.2. Réception du Message KRB_AS_REQ
    • 3.1.3. Génération du Message KRB_AS_REP
    • 3.1.4. Génération du Message KRB_ERROR
    • 3.1.5. Réception du Message KRB_AS_REP
    • 3.1.6. Réception du Message KRB_ERROR
  • 3.2. L'Échange d'Authentification Client/Serveur
    • 3.2.1. Le Message KRB_AP_REQ
    • 3.2.2. Génération d'un Message KRB_AP_REQ
    • 3.2.3. Réception du Message KRB_AP_REQ
    • 3.2.4. Génération d'un Message KRB_AP_REP
    • 3.2.5. Réception du Message KRB_AP_REP
    • 3.2.6. Utilisation de la Clé de Chiffrement
  • 3.3. L'Échange du Service d'Octroi de Tickets (TGS)
    • 3.3.1. Génération du Message KRB_TGS_REQ
    • 3.3.2. Réception du Message KRB_TGS_REQ
    • 3.3.3. Génération du Message KRB_TGS_REP
    • 3.3.4. Réception du Message KRB_TGS_REP
  • 3.4. L'Échange KRB_SAFE
    • 3.4.1. Génération d'un Message KRB_SAFE
    • 3.4.2. Réception du Message KRB_SAFE
  • 3.5. L'Échange KRB_PRIV
    • 3.5.1. Génération d'un Message KRB_PRIV
    • 3.5.2. Réception du Message KRB_PRIV
  • 3.6. L'Échange KRB_CRED
    • 3.6.1. Génération d'un Message KRB_CRED
    • 3.6.2. Réception du Message KRB_CRED
  • 3.7. Échanges d'Authentification Utilisateur-à-Utilisateur
• 4. Spécifications du Chiffrement et des Sommes de Contrôle
• 5. Spécifications des Messages
  • 5.1. Notes de Compatibilité Spécifiques sur ASN.1
    • 5.1.1. Règles de Codage Distingué ASN.1
    • 5.1.2. Champs Entiers Optionnels
    • 5.1.3. Types SEQUENCE OF Vides
    • 5.1.4. Numéros de Tag Non Reconnus
    • 5.1.5. Numéros de Tag Supérieurs à 30
  • 5.2. Types Kerberos de Base
    • 5.2.1. KerberosString
    • 5.2.2. Realm et PrincipalName
    • 5.2.3. KerberosTime
    • 5.2.4. Types Entiers Contraints
    • 5.2.5. HostAddress et HostAddresses
    • 5.2.6. AuthorizationData
    • 5.2.7. PA-DATA
    • 5.2.8. KerberosFlags
    • 5.2.9. Types Liés au Système de Chiffrement
  • 5.3. Tickets
  • 5.4. Spécifications pour les Échanges AS et TGS
    • 5.4.1. Définition de KRB_KDC_REQ
    • 5.4.2. Définition de KRB_KDC_REP
  • 5.5. Spécifications des Messages Client/Serveur (CS)
    • 5.5.1. Définition de KRB_AP_REQ
    • 5.5.2. Définition de KRB_AP_REP
    • 5.5.3. Réponse de Message d'Erreur
  • 5.6. Spécification du Message KRB_SAFE
    • 5.6.1. Définition de KRB_SAFE
  • 5.7. Spécification du Message KRB_PRIV
    • 5.7.1. Définition de KRB_PRIV
  • 5.8. Spécification du Message KRB_CRED
    • 5.8.1. Définition de KRB_CRED
  • 5.9. Spécification du Message d'Erreur
    • 5.9.1. Définition de KRB_ERROR
  • 5.10. Numéros de Tag d'Application
• 6. Contraintes de Nommage
  • 6.1. Noms de Domaine
  • 6.2. Noms de Principal
    • 6.2.1. Nom des Principaux de Serveur
• 7. Constantes et Autres Valeurs Définies
  • 7.1. Types d'Adresse d'Hôte
  • 7.2. Messagerie KDC: Transports IP
    • 7.2.1. Transport UDP/IP
    • 7.2.2. Transport TCP/IP
    • 7.2.3. Découverte du KDC sur les Réseaux IP
  • 7.3. Nom du TGS
  • 7.4. Arc OID pour KerberosV5
  • 7.5. Constantes du Protocole et Valeurs Associées
    • 7.5.1. Numéros d'Utilisation de Clé
    • 7.5.2. Types de Données de Pré-authentification
    • 7.5.3. Types d'Adresse
    • 7.5.4. Types de Données d'Autorisation
    • 7.5.5. Types de Codage de Transit
    • 7.5.6. Numéro de Version du Protocole
    • 7.5.7. Types de Message Kerberos
    • 7.5.8. Types de Nom
    • 7.5.9. Codes d'Erreur
• 8. Exigences d'Interopérabilité
  • 8.1. Spécification 2
  • 8.2. Valeurs KDC Recommandées
• 9. Considérations IANA
• 10. Considérations de Sécurité
• 11. Remerciements
• Appendice A. Différences par Rapport à la Version 4
• Appendice B. Numéros d'Utilisation de Clé
• Appendice C. Schéma ASN.1 Complet
• Références Normatives
• Références Informatives
• Adresses des Auteurs