Passa al contenuto principale

6.2. Principal Names (Nomi di Principal)

6.2. Principal Names (Nomi di Principal)

I nomi di principal identificano entità (utenti, servizi, host) nel sistema Kerberos. Ogni principal è identificato in modo univoco all'interno del suo realm.

Struttura del Nome

Componenti

  • Name Type: Identifica l'interpretazione dei componenti del nome
  • Name String: Sequenza di uno o più componenti
  • Realm: Dominio amministrativo

Esempi di Formato

  • Utente: username@REALM
  • Servizio: service/hostname@REALM
  • Istanza: username/instance@REALM

Tipi di Nome

NT-PRINCIPAL (1)

  • Nome principal di uso generale
  • Tipicamente a singolo componente per gli utenti
  • Esempio: [email protected]

NT-SRV-INST (2)

  • Servizio con istanza
  • Due componenti: servizio e istanza
  • Esempio: krbtgt/[email protected]

NT-SRV-HST (3)

  • Servizio con hostname
  • Due componenti: servizio e hostname
  • Esempio: host/[email protected]

Altri Tipi di Nome

  • NT-UID - Identificatore unico
  • NT-X500-PRINCIPAL - Nome X.500
  • NT-SMTP-NAME - Nome mail SMTP
  • NT-ENTERPRISE - Principal enterprise

6.2.1. Name of Server Principals (Nome dei Principal Server)

Convenzioni dei Principal di Servizio

Formato: service/hostname@REALM

Tipi di servizio comuni:

  • host/ - Servizio host
  • HTTP/ - Servizio web
  • nfs/ - Servizio NFS
  • imap/ - Servizio mail

Canonicalizzazione degli Hostname

Considerazioni importanti:

  • Dovrebbe utilizzare nomi di dominio completamente qualificati
  • La preservazione del case varia in base all'implementazione
  • NON SI DEVE fare affidamento su DNS insicuro per la canonicalizzazione
  • Implicazioni di sicurezza della mappatura dei nomi

Sensibilità al Case

  • I componenti dei nomi principal sono case-sensitive
  • I nomi dei realm sono case-sensitive
  • I confronti sono corrispondenze esatte di stringhe
  • Le implementazioni dovrebbero preservare il case

Considerazioni sulla Sicurezza

  • Una corretta canonicalizzazione dei nomi previene attacchi di impersonificazione
  • Evitare di fidarsi della risoluzione dei nomi insicura (DNS)
  • I nomi dei servizi dovrebbero essere attentamente validati
  • I nomi cross-realm richiedono verifica aggiuntiva

Best Practice

  • Utilizzare hostname completamente qualificati per i servizi
  • Mantenere convenzioni di denominazione coerenti
  • Documentare la policy di denominazione dei principal
  • Gestire attentamente i nomi dei principal di servizio

Riferimento

Per la specifica completa, fare riferimento a RFC 4120 Sezione 6.2.

Ultimo aggiornamento il