Aller au contenu principal

2.7. Vérification de la politique de transit

2.7. Vérification de la politique de transit

Vue d'ensemble

Dans Kerberos, le serveur d'application est en fin de compte responsable d'accepter ou de rejeter l'authentification, et il DEVRAIT vérifier que seuls les KDC suffisamment fiables sont utilisés pour authentifier un principal.

Le champ transited

Le champ transited dans le ticket:

  • Identifie quels domaines (et donc quels KDC) ont été impliqués dans le processus d'authentification
  • Devrait normalement être vérifié par le serveur d'application
  • Si des domaines ne sont pas fiables pour authentifier le principal client indiqué (déterminé par la politique basée sur les domaines), la tentative d'authentification DOIT être rejetée
  • La présence de KDC fiables dans cette liste ne fournit pas de garantie; un KDC non fiable peut avoir fabriqué la liste

Drapeau TRANSITED-POLICY-CHECKED

Bien que le serveur final décide en fin de compte si l'authentification est valide, le KDC pour le domaine du serveur final PEUT:

  • Appliquer une politique spécifique au domaine pour valider le champ transited
  • Accepter les credentials pour l'authentification inter-domaines
  • Lorsque le KDC applique de telles vérifications et accepte l'authentification inter-domaines, il définira le drapeau TRANSITED-POLICY-CHECKED dans les tickets de service

Options du client

  • Le client PEUT demander que les KDC ne vérifient pas le champ transited en définissant le drapeau DISABLE-TRANSITED-CHECK
  • Les KDC sont encouragés mais non obligés d'honorer ce drapeau

Exigences du serveur d'application

Les serveurs d'application DOIVENT soit:

  • Effectuer les vérifications de domaine transité eux-mêmes, OU
  • Rejeter les tickets inter-domaines sans TRANSITED-POLICY-CHECKED défini
Dernière mise à jour le