Passa al contenuto principale

5.3. Tickets

5.3. Tickets

I ticket sono le credenziali fondamentali in Kerberos. Un ticket contiene informazioni che consentono a un client di autenticarsi presso un servizio. Il ticket è crittografato nella chiave a lungo termine del servizio, garantendo che solo il servizio previsto possa decrittografarlo.

Struttura del Ticket

Struttura Esterna

  • tkt-vno - Numero di versione del ticket (sempre 5 per Kerberos V5)
  • realm - Realm del servizio
  • sname - Nome del principal del servizio
  • enc-part - Porzione crittografata del ticket

Parte Crittografata (EncTicketPart)

Contiene (crittografato nella chiave del servizio):

  • flags - Flag del ticket che indicano proprietà
  • key - Chiave di sessione per la comunicazione client-servizio
  • crealm - Realm del client
  • cname - Nome del principal del client
  • transited - Realm transitati nell'autenticazione cross-realm
  • authtime - Tempo dell'autenticazione iniziale
  • starttime - Tempo di inizio opzionale per la validità del ticket
  • endtime - Tempo di scadenza
  • renew-till - Scadenza opzionale del ticket rinnovabile
  • caddr - Lista opzionale di indirizzi di rete del client
  • authorization-data - Dati di autorizzazione opzionali

Proprietà del Ticket

Periodo di Validità

  • I ticket hanno un periodo di validità definito
  • authtime - Quando si è verificata l'autenticazione originale
  • starttime - Quando il ticket diventa valido (per ticket postdatati)
  • endtime - Quando il ticket scade
  • renew-till - Scadenza finale per ticket rinnovabili

Flag del Ticket

Controllano il comportamento del ticket:

  • FORWARDABLE, FORWARDED
  • PROXIABLE, PROXY
  • MAY-POSTDATE, POSTDATED, INVALID
  • RENEWABLE
  • INITIAL, PRE-AUTHENT, HW-AUTHENT
  • TRANSITED-POLICY-CHECKED
  • OK-AS-DELEGATE

Chiave di Sessione

  • Generata casualmente dal KDC
  • Condivisa tra client e servizio
  • Utilizzata per la crittografia dell'authenticator
  • Può essere utilizzata per la protezione dei dati applicativi

Dati di Autorizzazione

  • Informazioni di autorizzazione strutturate opzionali
  • Possono limitare l'uso del ticket
  • Supportano vari modelli di autorizzazione
  • Framework estensibile

Considerazioni sulla Sicurezza

  • Ticket crittografato nella chiave a lungo termine del servizio
  • Solo il servizio previsto può decrittografare
  • Include informazioni sull'identità del client
  • Contiene chiave di sessione per comunicazione sicura
  • Gli indirizzi possono limitare dove il ticket è valido
  • I timestamp prevengono attacchi replay

Uso

I ticket sono:

  • Emessi dal KDC negli scambi AS e TGS
  • Presentati dai client nei messaggi AP-REQ
  • Verificati dai servizi per autenticare i client
  • Possono essere rinnovati o inoltrati (se i flag lo permettono)

Riferimento

Per la definizione completa della struttura del ticket, fare riferimento a RFC 4120 Sezione 5.3.

Ultimo aggiornamento il