7.2. KDC Messaging: IP Transports (Messaggistica KDC: Trasporti IP)
7.2. KDC Messaging: IP Transports (Messaggistica KDC: Trasporti IP)
Panoramica
I client Kerberos comunicano con i KDC tramite UDP o TCP su reti IP. Questa sezione specifica i requisiti di trasporto e i meccanismi di individuazione (discovery) del KDC.
7.2.1. Trasporto UDP/IP
Comportamento predefinito
- Il KDC ascolta sulla porta 88 (UDP)
- I client inviano le richieste tramite UDP
- Adatto a messaggi di piccole dimensioni
Limitazioni
- Considerazioni sulla dimensione massima pratica dei pacchetti UDP
- Può essere necessario TCP per messaggi di grandi dimensioni
- L'MTU della rete incide sull'usabilità
7.2.2. Trasporto TCP/IP
Quando usarlo
- Il KDC ascolta sulla porta 88 (TCP)
- Richiesto per messaggi di grandi dimensioni che superano i limiti UDP
- Più affidabile in alcuni ambienti di rete
Gestione delle connessioni
- Il client avvia la connessione TCP
- Un campo di lunghezza di 4 byte precede ogni messaggio
- La connessione può trasportare più scambi
- Considerazioni sulla gestione delle connessioni
7.2.3. Individuazione del KDC su reti IP
Individuazione basata su DNS
- Record SRV per la posizione del KDC
- Formato:
_kerberos._udp.REALMe_kerberos._tcp.REALM - Consente l'individuazione automatica del KDC
- Priorità e peso per più KDC
Configurazione statica
- Indirizzi KDC manuali nella configurazione del client
krb5.confo equivalente- Fallback quando il DNS non è disponibile
Individuazione del KDC master
_kerberos-master._udp.REALM_kerberos-master._tcp.REALM- Usata per cambi password e operazioni amministrative
Considerazioni di sicurezza
- Le risposte DNS possono non essere attendibili
- Si raccomanda DNSSEC per un'individuazione sicura del KDC
- La configurazione statica è più sicura ma meno flessibile
Numeri di porta
- Porta standard: 88 (sia UDP che TCP)
- Registrata presso IANA
- Entrambi i trasporti dovrebbero essere supportati
Riferimento
Per le specifiche complete sui trasporti, vedere RFC 4120 Section 7.2.