3.6. L'échange KRB_CRED
Vue d'ensemble
Le message KRB_CRED sert à transmettre des identifiants Kerberos (tickets et clés de session) d'un principal à un autre. Cela permet des scénarios de délégation où un service doit agir au nom d'un client.
Rôle
KRB_CRED est utilisé pour :
- la transmission d'identifiants (credential forwarding)
- la délégation des droits d'authentification
- le passage de tickets entre systèmes
- la prise en charge du cache d'identifiants
Structure du message
KRB_CRED contient :
- un ou plusieurs tickets
- les clés de session correspondantes et les métadonnées (chiffrées)
- un horodatage optionnel
- les adresses expéditeur et destinataire optionnelles
Génération du message KRB_CRED
L'expéditeur :
- sélectionne les tickets et identifiants à transmettre
- chiffre les informations sensibles (clés de session, etc.)
- regroupe les tickets avec les informations d'identifiants chiffrées
- envoie le message KRB_CRED
Réception du message KRB_CRED
Le destinataire :
- déchiffre les informations d'identifiants
- vérifie l'horodatage s'il est présent
- stocke les tickets et clés de session pour une utilisation ultérieure
- peut alors utiliser les identifiants transmis pour s'authentifier auprès des services
Considérations de sécurité
- les identifiants ne devraient être transmis que sur des canaux sécurisés
- le destinataire doit être de confiance pour utiliser les identifiants de façon appropriée
- les identifiants transmis peuvent avoir des capacités restreintes (voir les drapeaux de ticket)
- l'horodatage apporte une certaine protection contre la relecture
Cas d'usage
- Transmission d'authentification : l'utilisateur se connecte à un système distant, les identifiants sont transmis pour un usage local
- Délégation de service : un serveur web reçoit des identifiants pour accéder à une base de données en arrière-plan au nom de l'utilisateur
- Cache d'identifiants : stockage des identifiants pour une utilisation ultérieure
Référence
Pour les détails techniques complets, voir RFC 4120, section 3.6.