Aller au contenu principal

6.2. Noms principaux

Vue d'ensemble

Les noms principaux identifient les entités (utilisateurs, services, hôtes) dans le système Kerberos. Chaque principal est identifié de manière unique dans son royaume.

Structure des noms

Composants

  • Type de nom: Identifie l'interprétation des composants du nom
  • Chaîne de nom: Séquence d'un ou plusieurs composants
  • Royaume: Domaine administratif

Exemples de format

  • Utilisateur: username@REALM
  • Service: service/hostname@REALM
  • Instance: username/instance@REALM

Types de nom

NT-PRINCIPAL (1)

  • Nom principal à usage général
  • Généralement à composant unique pour les utilisateurs
  • Exemple: [email protected]

NT-SRV-INST (2)

  • Service avec instance
  • Deux composants: service et instance
  • Exemple: krbtgt/[email protected]

NT-SRV-HST (3)

  • Service avec nom d'hôte
  • Deux composants: service et nom d'hôte
  • Exemple: host/[email protected]

Autres types de nom

  • NT-UID - Identifiant unique
  • NT-X500-PRINCIPAL - Nom X.500
  • NT-SMTP-NAME - Nom de messagerie SMTP
  • NT-ENTERPRISE - Principal d'entreprise

6.2.1. Nom des principaux de serveur

Conventions de principal de service

Format: service/hostname@REALM

Types de service courants:

  • host/ - Service hôte
  • HTTP/ - Service web
  • nfs/ - Service NFS
  • imap/ - Service mail

Canonicalisation du nom d'hôte

Considérations importantes:

  • Devrait utiliser des noms de domaine pleinement qualifiés
  • La préservation de la casse varie selon l'implémentation
  • NE DOIT PAS se fier au DNS non sécurisé pour la canonicalisation
  • Implications de sécurité du mappage de noms

Sensibilité à la casse

  • Les composants de nom principal sont sensibles à la casse
  • Les noms de royaume sont sensibles à la casse
  • Les comparaisons sont des correspondances exactes de chaîne
  • Les implémentations devraient préserver la casse

Considérations de sécurité

  • Une bonne canonicalisation des noms empêche les attaques par usurpation d'identité
  • Éviter de faire confiance à la résolution de noms non sécurisée (DNS)
  • Les noms de service doivent être soigneusement validés
  • Les noms inter-royaume nécessitent une vérification supplémentaire

Bonnes pratiques

  • Utiliser des noms d'hôte pleinement qualifiés pour les services
  • Maintenir des conventions de nommage cohérentes
  • Documenter la politique de nommage des principaux
  • Gérer soigneusement les noms de principal de service

Référence

Pour la spécification complète, se référer à RFC 4120 Section 6.2.

Dernière mise à jour le