Passa al contenuto principale

1.3. Choosing a Principal with Which to Communicate (Scelta di un Principal con cui Comunicare)

Overview (Panoramica)

Il protocollo Kerberos fornisce i mezzi per verificare che l'entità con cui si comunica sia la stessa entità registrata presso il KDC utilizzando l'identità dichiarata (nome del principal). Tuttavia, è ancora necessario determinare se quell'identità corrisponde all'entità con cui si intende comunicare.

Determination Methods (Metodi di Determinazione)

Syntactic Determination (Determinazione Sintattica)

Quando sono stati scambiati in anticipo dati appropriati, l'applicazione può eseguire la determinazione sintatticamente in base a:

  • Specifica del protocollo applicativo
  • Informazioni fornite dall'utente
  • File di configurazione

Esempio: Il nome del principal del server per un server telnet potrebbe essere derivato da:

  • Nome host specificato dall'utente (dalla riga di comando telnet)
  • Prefisso "host/" (dalla specifica del protocollo applicativo)
  • Mappatura al realm Kerberos derivato dalla parte di dominio dell'hostname

Trusted Third Parties (Terze Parti Fidate)

Si può fare affidamento su terze parti fidate per la determinazione, ma SOLO quando:

  • I dati ottenuti dalla terza parte sono adeguatamente protetti per l'integrità
  • I dati sono protetti mentre risiedono sul server della terza parte
  • I dati sono protetti durante la trasmissione

Security Requirements (Requisiti di Sicurezza)

DNS and Hostname Canonicalization (DNS e Canonicalizzazione dell'Hostname)

NON DEVE:

  • Le implementazioni NON DEVONO utilizzare query DNS non sicure per canonicalizzare i componenti hostname dei nomi dei principal di servizio
  • NON DEVONO utilizzare query DNS non sicure per mappare un nome a un altro

PUÒ:

  • In ambienti senza servizio di nomi sicuro, le applicazioni POSSONO aggiungere nomi di dominio configurati staticamente agli hostname non qualificati
  • Non dovrebbe fare più di questo

Secure Name Service (Servizio di Nomi Sicuro):

  • Le strutture di servizio di nomi sicuro, se disponibili, potrebbero essere considerate affidabili per la canonicalizzazione dell'hostname
  • Tale canonicalizzazione da parte del client NON DOVREBBE essere richiesta dalle implementazioni KDC

Implementation Note (Nota di Implementazione)

Molte implementazioni attuali eseguono un certo grado di canonicalizzazione del nome del servizio fornito, spesso utilizzando DNS. Questo crea problemi di sicurezza. Tuttavia, non c'è coerenza tra le implementazioni riguardo a:

  • Se il nome del servizio viene convertito in minuscolo
  • Se viene utilizzata la risoluzione inversa

Best Practice (Migliore Pratica): Per massimizzare l'interoperabilità e la sicurezza, le applicazioni DOVREBBERO fornire ai meccanismi di sicurezza nomi che risultano dalla conversione del nome inserito dall'utente in minuscolo senza eseguire altre modifiche o canonicalizzazione.

Reference (Riferimento)

Per i dettagli tecnici completi, fare riferimento all'originale RFC 4120 Sezione 1.3.

Ultimo aggiornamento il