Passa al contenuto principale

1.5.1. Compatibility with RFC 1510 (Compatibilità con RFC 1510)

1.5.1. Compatibility with RFC 1510 (Compatibilità con RFC 1510)

Si noti che i formati dei messaggi Kerberos esistenti non possono essere facilmente estesi aggiungendo campi ai tipi ASN.1. L'invio di campi aggiuntivi spesso risulta nell'intero messaggio che viene scartato senza un'indicazione di errore. Le versioni future di questa specifica forniranno linee guida per garantire che i campi ASN.1 possano essere aggiunti senza creare un problema di interoperabilità.

Nel frattempo, tutte le implementazioni nuove o modificate di Kerberos che ricevono un'estensione di messaggio sconosciuta DOVREBBERO preservare la codifica dell'estensione ma altrimenti ignorarne la presenza. I destinatari NON DEVONO rifiutare una richiesta semplicemente perché è presente un'estensione.

C'è un'eccezione a questa regola. Se un tipo di elemento dati di autorizzazione sconosciuto viene ricevuto da un server diverso dal servizio di concessione ticket in un AP-REQ o in un ticket contenuto in un AP-REQ, allora l'autenticazione DEVE fallire. Uno degli usi principali dei dati di autorizzazione è limitare l'uso del ticket. Se il servizio non può determinare se la restrizione si applica a quel servizio, allora può risultare una debolezza di sicurezza se il ticket può essere utilizzato per quel servizio. Gli elementi di autorizzazione che sono opzionali DOVREBBERO essere racchiusi nell'elemento AD-IF-RELEVANT.

Il servizio di concessione ticket DEVE ignorare ma propagare ai ticket derivati qualsiasi tipo di dati di autorizzazione sconosciuto, a meno che tali tipi di dati non siano incorporati in un elemento MANDATORY-FOR-KDC, nel qual caso la richiesta verrà rifiutata. Questo comportamento è appropriato perché richiedere che il servizio di concessione ticket comprenda tipi di dati di autorizzazione sconosciuti richiederebbe che il software KDC venga aggiornato per comprendere le nuove restrizioni a livello di applicazione prima che le applicazioni utilizzino queste restrizioni, diminuendo l'utilità dei dati di autorizzazione come meccanismo per limitare l'uso dei ticket. Non viene creato alcun problema di sicurezza perché i servizi a cui vengono emessi i ticket verificheranno i dati di autorizzazione.

Nota di implementazione: Molte implementazioni RFC 1510 ignorano elementi dati di autorizzazione sconosciuti. Fare affidamento su queste implementazioni per onorare le restrizioni dei dati di autorizzazione può creare una debolezza di sicurezza.

Ultimo aggiornamento il