2.9. Other KDC Options (Altre Opzioni KDC)

Ci sono tre opzioni aggiuntive che POSSONO essere impostate in una richiesta del client al KDC.

2.9.1. Renewable-OK

L'opzione RENEWABLE-OK indica che il client accetterà un ticket rinnovabile se un ticket con la vita richiesta non può altrimenti essere fornito.

Comportamento

Se un ticket con la vita richiesta non può essere fornito, allora il KDC PUÒ emettere un ticket rinnovabile con un renew-till uguale all'endtime richiesto
Il valore del campo renew-till PUÒ comunque essere aggiustato da:
- Limiti determinati dal sito
- Limiti imposti dal principal o server individuale

2.9.2. ENC-TKT-IN-SKEY

Nella sua forma base, il protocollo Kerberos supporta l'autenticazione in un ambiente client-server e non è ben adatto all'autenticazione in un ambiente peer-to-peer perché la chiave a lungo termine dell'utente non rimane sulla workstation dopo il login iniziale.

Scopo

L'opzione ENC-TKT-IN-SKEY supporta l'autenticazione user-to-user:

Consentendo al KDC di emettere un ticket di servizio crittografato utilizzando la chiave di sessione da un altro TGT emesso a un altro utente
È onorata solo dal servizio di concessione ticket
Indica che il ticket da emettere per il server finale deve essere crittografato nella chiave di sessione dal secondo TGT aggiuntivo fornito con la richiesta

Vedere la Sezione 3.3.3 per dettagli specifici.

2.9.3. Passwordless Hardware Authentication (Autenticazione Hardware Senza Password)

L'opzione OPT-HARDWARE-AUTH indica che il client desidera utilizzare una qualche forma di autenticazione hardware invece o in aggiunta alla password del client o ad altra chiave di crittografia di lunga durata.

Comportamento

OPT-HARDWARE-AUTH è onorata solo dal servizio di autenticazione
Se supportato e consentito dalla policy, il KDC restituirà un codice di errore di KDC_ERR_PREAUTH_REQUIRED
Includerà il METHOD-DATA richiesto per eseguire tale autenticazione

Riferimento

Per i dettagli tecnici completi, fare riferimento a RFC 4120 Sezione 2.9.