Passa al contenuto principale

1.4. Authorization (Autorizzazione)

1.4. Authorization (Autorizzazione)

Come servizio di autenticazione, Kerberos fornisce un mezzo per verificare l'identità dei principal su una rete. L'autenticazione è di solito utile principalmente come primo passo nel processo di autorizzazione, determinando se un client può utilizzare un servizio, quali oggetti il client può accedere e il tipo di accesso consentito per ciascuno. Kerberos non fornisce, di per sé, l'autorizzazione. Il possesso di un ticket client per un servizio fornisce solo l'autenticazione del client a quel servizio, e in assenza di una procedura di autorizzazione separata, un'applicazione non dovrebbe considerarlo come autorizzazione all'uso di quel servizio.

Metodi di autorizzazione separati POSSONO essere implementati come funzioni di controllo accessi specifiche dell'applicazione e possono utilizzare file sul server applicativo, su credenziali di autorizzazione emesse separatamente come quelle basate su proxy [Neu93], o su altri servizi di autorizzazione. Le credenziali di autorizzazione autenticate separatamente POSSONO essere incorporate nei dati di autorizzazione di un ticket quando incapsulate dall'elemento dati di autorizzazione emesso dal KDC.

Le applicazioni non dovrebbero accettare la semplice emissione di un ticket di servizio da parte del server Kerberos (anche da un server Kerberos modificato) come concessione di autorità per utilizzare il servizio, poiché tali applicazioni potrebbero diventare vulnerabili al bypass di questo controllo di autorizzazione in un ambiente in cui sono fornite altre opzioni per l'autenticazione dell'applicazione, o se interoperano con altri KDC.

Ultimo aggiornamento il