Passa al contenuto principale

2.3. Renewable Tickets (Ticket Rinnovabili)

Purpose (Scopo)

Le applicazioni possono desiderare di mantenere ticket che possono essere validi per lunghi periodi di tempo. Tuttavia, questo può esporre le loro credenziali a un potenziale furto per periodi ugualmente lunghi. I ticket rinnovabili possono essere utilizzati per mitigare le conseguenze del furto.

How Renewable Tickets Work (Come Funzionano i Ticket Rinnovabili)

Two Expiration Times (Due Tempi di Scadenza)

I ticket rinnovabili hanno due "tempi di scadenza":

  1. Prima scadenza: Quando l'istanza corrente del ticket scade
  2. Seconda scadenza: Il valore massimo consentito per un tempo di scadenza individuale

Renewal Process (Processo di Rinnovo)

  1. Il client applicativo deve periodicamente (prima della scadenza) presentare un ticket rinnovabile al KDC
  2. Impostare l'opzione RENEW nella richiesta KDC
  3. Il KDC emette un nuovo ticket con:
    • Nuova chiave di sessione
    • Tempo di scadenza successivo
    • Tutti gli altri campi lasciati non modificati

Security Features (Caratteristiche di Sicurezza)

  • Quando arriva il tempo di scadenza massimo consentito, il ticket scade permanentemente
  • Ad ogni rinnovo, il KDC PUÒ consultare una hot-list per determinare se il ticket è stato segnalato come rubato dall'ultimo rinnovo
  • Il KDC rifiuterà di rinnovare i ticket rubati
  • La durata utilizzabile dei ticket rubati è ridotta

RENEWABLE Flag Interpretation (Interpretazione del Flag RENEWABLE)

Il flag RENEWABLE in un ticket è:

  • Normalmente interpretato solo dal servizio di concessione ticket (Sezione 3.3)
  • Può di solito essere ignorato dai server applicativi
  • Tuttavia, alcuni server applicativi particolarmente attenti POSSONO non consentire ticket rinnovabili

Configuration (Configurazione)

  • Se un ticket rinnovabile non viene rinnovato entro il suo tempo di scadenza, il KDC non rinnoverà il ticket
  • Il flag RENEWABLE è reimpostato per impostazione predefinita
  • Un client PUÒ richiedere che venga impostato impostando l'opzione RENEWABLE nel messaggio KRB_AS_REQ
  • Se impostato, il campo renew-till nel ticket contiene il tempo dopo il quale il ticket non può essere rinnovato
Ultimo aggiornamento il