Aller au contenu principal

2.4. Tickets postdatés

2.4. Tickets postdatés

Objectif

Les applications peuvent parfois avoir besoin d'obtenir des tickets pour une utilisation ultérieure. Par exemple, un système de soumission de lots aurait besoin de tickets valides au moment où le travail par lots est traité.

Problème et solution

Le problème

Il est dangereux de détenir des tickets valides dans une file d'attente de lots, car ils seront:

  • En ligne plus longtemps
  • Plus sujets au vol

La solution

Les tickets postdatés fournissent un moyen de:

  • Obtenir des tickets du KDC au moment de la soumission du travail
  • Les laisser "dormants" jusqu'à ce qu'ils soient activés et validés par une demande ultérieure au KDC
  • Si un vol de ticket était signalé entre-temps, le KDC refuserait de valider le ticket

Drapeau MAY-POSTDATE

Le drapeau MAY-POSTDATE dans un ticket:

  • Est normalement uniquement interprété par le service d'octroi de tickets
  • Peut être ignoré par les serveurs d'application
  • DOIT être défini dans un TGT afin d'émettre un ticket postdaté basé sur le ticket présenté
  • Est réinitialisé par défaut
  • Un client PEUT le demander en définissant l'option ALLOW-POSTDATE dans le message KRB_AS_REQ

Restrictions

  • Ce drapeau ne permet pas à un client d'obtenir un TGT postdaté
  • Les TGT postdatés ne peuvent être obtenus qu'en demandant le postdatage dans le message KRB_AS_REQ

Règles de durée de vie

La durée de vie (endtime-starttime) d'un ticket postdaté sera:

  • La durée de vie restante du TGT au moment de la demande
  • Sauf si l'option RENEWABLE est également définie, auquel cas elle peut être la durée de vie complète (endtime-starttime) du TGT
  • Le KDC PEUT limiter jusqu'où dans le futur un ticket peut être postdaté

Drapeau POSTDATED

Le drapeau POSTDATED indique qu'un ticket a été postdaté.

Utilisation par les serveurs d'application

  • Le serveur d'application peut vérifier le champ authtime dans le ticket pour voir quand l'authentification originale a eu lieu
  • Certains services PEUVENT choisir de rejeter les tickets postdatés
  • Ou ils peuvent seulement les accepter dans une certaine période après l'authentification originale

Comportement spécial

Lorsque le KDC émet un ticket POSTDATED, il sera également marqué comme INVALID, de sorte que le client d'application DOIT présenter le ticket au KDC pour être validé avant utilisation.

Dernière mise à jour le