Aller au contenu principal

2.3. Tickets renouvelables

2.3. Tickets renouvelables

Objectif

Les applications peuvent souhaiter détenir des tickets qui peuvent être valides pendant de longues périodes. Cependant, cela peut exposer leurs credentials à un vol potentiel pendant des périodes également longues. Les tickets renouvelables peuvent être utilisés pour atténuer les conséquences du vol.

Fonctionnement des tickets renouvelables

Deux temps d'expiration

Les tickets renouvelables ont deux "temps d'expiration":

  1. Première expiration: Quand l'instance actuelle du ticket expire
  2. Seconde expiration: La dernière valeur permissible pour un temps d'expiration individuel

Processus de renouvellement

  1. Le client d'application doit périodiquement (avant qu'il n'expire) présenter un ticket renouvelable au KDC
  2. Définir l'option RENEW dans la demande KDC
  3. Le KDC émet un nouveau ticket avec:
    • Une nouvelle clé de session
    • Un temps d'expiration ultérieur
    • Tous les autres champs laissés non modifiés

Fonctionnalités de sécurité

  • Lorsque le dernier temps d'expiration permissible arrive, le ticket expire définitivement
  • À chaque renouvellement, le KDC PEUT consulter une liste noire (hot-list) pour déterminer si le ticket a été signalé comme volé depuis son dernier renouvellement
  • Le KDC refusera de renouveler les tickets volés
  • La durée de vie utilisable des tickets volés est réduite

Interprétation du drapeau RENEWABLE

Le drapeau RENEWABLE dans un ticket est:

  • Normalement uniquement interprété par le service d'octroi de tickets (section 3.3)
  • Peut généralement être ignoré par les serveurs d'application
  • Cependant, certains serveurs d'application particulièrement prudents PEUVENT interdire les tickets renouvelables

Configuration

  • Si un ticket renouvelable n'est pas renouvelé avant son temps d'expiration, le KDC ne renouvellera pas le ticket
  • Le drapeau RENEWABLE est réinitialisé par défaut
  • Un client PEUT demander qu'il soit défini en définissant l'option RENEWABLE dans le message KRB_AS_REQ
  • S'il est défini, le champ renew-till dans le ticket contient le temps après lequel le ticket ne peut plus être renouvelé
Dernière mise à jour le