8.2. Recommended KDC Values (Valori KDC Raccomandati)
8.2. Recommended KDC Values (Valori KDC Raccomandati)
Panoramica
Questa sezione fornisce raccomandazioni per vari parametri operativi del KDC per promuovere l'interoperabilità e un comportamento predefinito ragionevole.
Durata dei Ticket
Durata Predefinita del Ticket
- Raccomandato: 10-12 ore
- Bilancia sicurezza e usabilità
- Dovrebbe essere configurabile per policy
Durata Massima del Ticket
- Raccomandato: 1 giorno
- Limita l'esposizione dei ticket compromessi
- Dovrebbe essere regolabile in base alla valutazione del rischio
Durata del Ticket Rinnovabile
- Raccomandato: 1 settimana
- Consente processi di lunga durata senza memorizzazione delle credenziali
- Bilancia convenienza e sicurezza
Tolleranza dello Skew di Orologio
Valore Raccomandato
- 5 minuti (300 secondi)
- Accoglie problemi minori di sincronizzazione dell'orologio
- Non dovrebbe essere troppo grande (finestra di replay)
- Deve essere configurabile
Crittografia e Checksum
Supporto degli Algoritmi
- Supportare algoritmi di crittografia moderni
- Deprecare algoritmi deboli
- Seguire le migliori pratiche crittografiche attuali
- Vedere RFC 3961, 3962, 4120 per le specifiche
Pre-Autenticazione
Policy Raccomandate
- Richiedere la pre-autenticazione per i principal utente
- Previene attacchi di dizionario offline
- PA-ENC-TIMESTAMP ampiamente supportato
- Considerare meccanismi di pre-auth aggiuntivi
Restrizioni sugli Indirizzi
Considerazioni Moderne
- Le restrizioni sugli indirizzi sono meno utili con NAT/proxy
- Considerare i ticket senza indirizzo come predefiniti
- La policy dovrebbe essere configurabile
- Bilanciare le esigenze di sicurezza vs. la realtà di distribuzione
Cross-Realm
Configurazione
- Documentare chiaramente le relazioni di fiducia
- Stabilire policy di transito appropriate
- Considerare l'organizzazione gerarchica dei realm
- Implementare appropriatamente la verifica del transito
Riferimento
Per le raccomandazioni complete, fare riferimento a RFC 4120 Sezione 8.2.