2.7. Transited Policy Checking (Controllo delle Policy Transitate)

Panoramica

In Kerberos, il server applicativo è in definitiva responsabile dell'accettazione o del rifiuto dell'autenticazione, e DOVREBBE controllare che solo KDC adeguatamente fidati siano utilizzati per autenticare un principal.

Il Campo Transited

Il campo transited nel ticket:

Identifica quali realm (e quindi quali KDC) sono stati coinvolti nel processo di autenticazione
Dovrebbe normalmente essere controllato dal server applicativo
Se qualsiasi realm non è fidato per autenticare il principal client indicato (determinato dalla policy basata su realm), il tentativo di autenticazione DEVE essere rifiutato
La presenza di KDC fidati in questo elenco non fornisce garanzia; un KDC non fidato potrebbe aver fabbricato l'elenco

Flag TRANSITED-POLICY-CHECKED

Sebbene il server finale decida in definitiva se l'autenticazione è valida, il KDC per il realm del server finale PUÒ:

Applicare una policy specifica del realm per validare il campo transited
Accettare credenziali per l'autenticazione cross-realm
Quando il KDC applica tali controlli e accetta l'autenticazione cross-realm, imposterà il flag TRANSITED-POLICY-CHECKED nei ticket di servizio

Opzioni del Client

Il client PUÒ richiedere che i KDC non controllino il campo transited impostando il flag DISABLE-TRANSITED-CHECK
I KDC sono incoraggiati ma non obbligati a onorare questo flag

Requisiti del Server Applicativo

I server applicativi DEVONO:

Eseguire loro stessi i controlli dei realm transitati, OPPURE
Rifiutare i ticket cross-realm senza TRANSITED-POLICY-CHECKED impostato

Riferimento

Per i dettagli tecnici completi, fare riferimento a RFC 4120 Sezione 2.7.

2.7. Transited Policy Checking (Controllo delle Policy Transitate)​

Panoramica​

Il Campo Transited​

Flag TRANSITED-POLICY-CHECKED​

Opzioni del Client​

Requisiti del Server Applicativo​

Riferimento​