7.2. Messagerie KDC - transports IP
7.2. Messagerie KDC : transports IP
Vue d'ensemble
Les clients Kerberos communiquent avec les KDC via UDP ou TCP sur des réseaux IP. Cette section précise les exigences de transport et les mécanismes de découverte des KDC.
7.2.1. Transport UDP/IP
Comportement par défaut
- Le KDC écoute sur le port 88 (UDP)
- Les clients envoient les requêtes en UDP
- Adapté aux messages de petite taille
Limites
- Contraintes liées à la taille maximale pratique des paquets UDP
- Peut nécessiter le TCP pour les messages volumineux
- Le MTU du réseau influe sur l'usage
7.2.2. Transport TCP/IP
Quand l'utiliser
- Le KDC écoute sur le port 88 (TCP)
- Requis pour les messages dépassant les limites UDP
- Plus fiable dans certains environnements réseau
Gestion des connexions
- Le client initie la connexion TCP
- Un champ de longueur sur 4 octets précède chaque message
- La connexion peut porter plusieurs échanges
- Prise en compte de la gestion des connexions
7.2.3. Découverte du KDC sur les réseaux IP
Découverte via DNS
- Enregistrements SRV pour la localisation des KDC
- Format :
_kerberos._udp.REALMet_kerberos._tcp.REALM - Permet la découverte automatique des KDC
- Priorité et poids pour plusieurs KDC
Configuration statique
- Adresses KDC saisies manuellement dans la configuration client
- krb5.conf ou équivalent
- Secours lorsque le DNS n'est pas disponible
Découverte du KDC maître
_kerberos-master._udp.REALM_kerberos-master._tcp.REALM- Utilisé pour les changements de mot de passe et les opérations d'administration
Considérations de sécurité
- Les réponses DNS peuvent ne pas être dignes de confiance
- DNSSEC recommandé pour une découverte KDC sécurisée
- La configuration statique est plus sûre mais moins souple
Numéros de port
- Port standard : 88 (UDP et TCP)
- Enregistré auprès de l'IANA
- Les deux transports devraient être pris en charge
Référence
Pour les spécifications complètes des transports, se reporter à RFC 4120, section 7.2.