Passa al contenuto principale

6. Naming Constraints (Vincoli di Denominazione)

6. Naming Constraints (Vincoli di Denominazione)

Questa sezione descrive i vincoli sui nomi dei realm e dei principal nel protocollo Kerberos.

6.1. Realm Names (Nomi dei Realm)

I nomi dei realm nel protocollo Kerberos sono stringhe maiuscole che identificano i domini amministrativi. Per convenzione, i nomi dei realm sono spesso correlati ai nomi di dominio DNS dell'organizzazione, sebbene questo non sia obbligatorio.

I nomi dei realm sono case-sensitive e sono tipicamente rappresentati in maiuscolo per distinguerli dai nomi host. Ad esempio, se un'organizzazione utilizza il dominio DNS example.com, il suo realm Kerberos potrebbe essere denominato EXAMPLE.COM.

I nomi dei realm DEVONO essere costituiti da caratteri stampabili ASCII.

6.2. Principal Names (Nomi dei Principal)

I nomi dei principal in Kerberos consistono in due parti: un nome di componente e un nome di realm. Il nome di componente stesso può essere composto da più componenti separati da barre (/).

La forma generale di un nome di principal è:

component1/component2/.../componentN@REALM

Diversi tipi di nomi di principal sono identificati dal campo name-type. I tipi di nome comuni includono:

  • NT-PRINCIPAL (1): Nome principal generale
  • NT-SRV-INST (2): Nome del servizio e istanza
  • NT-SRV-HST (3): Nome del servizio e nome host
  • NT-SRV-XHST (4): Nome del servizio e nome host (non canonico)
  • NT-UID (5): ID utente univoco
  • NT-ENTERPRISE (10): Nome in stile aziendale

I nomi dei principal DOVREBBERO essere normalizzati secondo regole specifiche per il tipo di nome per garantire la consistenza.

6.2.1. Name of Server Principals (Nome dei Principal del Server)

I principal del server hanno tipicamente nomi che includono il tipo di servizio e l'istanza (solitamente un nome host). Ad esempio, un servizio HTTP in esecuzione su web.example.com nel realm EXAMPLE.COM avrebbe il nome principal:

HTTP/[email protected]

Il primo componente identifica il tipo di servizio, il secondo componente identifica l'istanza (tipicamente il nome host completamente qualificato), e la parte dopo @ identifica il realm.

Ultimo aggiornamento il