1.4. Authorization (Autorisation)

1.4. Autorisation

En tant que service d'authentification, Kerberos fournit un moyen de vérifier l'identité des principaux sur un réseau. L'authentification est généralement utile principalement comme première étape dans le processus d'autorisation, déterminant si un client peut utiliser un service, quels objets le client est autorisé à accéder et le type d'accès autorisé pour chacun. Kerberos ne fournit pas, en soi, d'autorisation. La possession d'un ticket client pour un service ne prévoit que l'authentification du client auprès de ce service, et en l'absence d'une procédure d'autorisation distincte, une application ne devrait pas considérer qu'elle autorise l'utilisation de ce service.

Des méthodes d'autorisation distinctes PEUVENT être implémentées sous forme de fonctions de contrôle d'accès spécifiques à l'application et peuvent utiliser des fichiers sur le serveur d'application, sur des identifiants d'autorisation émis séparément tels que ceux basés sur des proxies [Neu93], ou sur d'autres services d'autorisation. Des identifiants d'autorisation authentifiés séparément PEUVENT être intégrés dans les données d'autorisation d'un ticket lorsqu'ils sont encapsulés par l'élément de données d'autorisation émis par le KDC.

Les applications ne devraient pas accepter la simple émission d'un ticket de service par le serveur Kerberos (même par un serveur Kerberos modifié) comme accordant l'autorité d'utiliser le service, car de telles applications peuvent devenir vulnérables au contournement de cette vérification d'autorisation dans un environnement où d'autres options d'authentification d'application sont fournies, ou si elles interopèrent avec d'autres KDC.