2.9. Autres options KDC

Il existe trois options supplémentaires qui PEUVENT être définies dans la demande d'un client au KDC.

2.9.1. Renewable-OK

L'option RENEWABLE-OK indique que le client acceptera un ticket renouvelable si un ticket avec la durée de vie demandée ne peut pas être fourni autrement.

Comportement

Si un ticket avec la durée de vie demandée ne peut pas être fourni, alors le KDC PEUT émettre un ticket renouvelable avec un renew-till égal au endtime demandé
La valeur du champ renew-till PEUT toujours être ajustée par:
- Des limites déterminées par le site
- Des limites imposées par le principal ou serveur individuel

2.9.2. ENC-TKT-IN-SKEY

Dans sa forme de base, le protocole Kerberos prend en charge l'authentification dans un environnement client-serveur et n'est pas bien adapté à l'authentification dans un environnement pair-à-pair car la clé à long terme de l'utilisateur ne reste pas sur la station de travail après la connexion initiale.

Objectif

L'option ENC-TKT-IN-SKEY prend en charge l'authentification utilisateur à utilisateur en:

Permettant au KDC d'émettre un ticket de service chiffré en utilisant la clé de session d'un autre TGT émis à un autre utilisateur
N'est honorée que par le service d'octroi de tickets
Indique que le ticket à émettre pour le serveur final doit être chiffré dans la clé de session du second TGT supplémentaire fourni avec la demande

Voir la section 3.3.3 pour des détails spécifiques.

2.9.3. Authentification matérielle sans mot de passe

L'option OPT-HARDWARE-AUTH indique que le client souhaite utiliser une forme d'authentification matérielle au lieu de ou en plus du mot de passe du client ou d'une autre clé de chiffrement à longue durée de vie.

Comportement

OPT-HARDWARE-AUTH n'est honorée que par le service d'authentification
Si elle est prise en charge et autorisée par la politique, le KDC retournera un code d'erreur KDC_ERR_PREAUTH_REQUIRED
Inclura les METHOD-DATA requises pour effectuer une telle authentification