2.9. Other KDC Options (その他の KDC オプション)
2.9. Other KDC Options (その他の KDC オプション)
KDC へのクライアントの要求で設定される場合がある追加のオプションが 3 つあります (MAY)。
2.9.1. Renewable-OK (更新可能 OK)
RENEWABLE-OK オプションは, 要求された有効期間のチケットを提供できない場合, クライアントが更新可能なチケットを受け入れることを示します。
動作
- 要求された有効期間のチケットを提供できない場合, KDC は要求された終了時刻に等しい renew-till を持つ更新可能なチケットを発行する場合があります (MAY)
- renew-till フィールドの値は, 次によって依然として調整される場合があります (MAY):
- サイトで決定された制限
- 個々のプリンシパルまたはサーバーによって課される制限
2.9.2. ENC-TKT-IN-SKEY
基本的な形式では, Kerberos プロトコルはクライアント-サーバー設定での認証をサポートし, ユーザーの長期鍵が初期ログイン後にワークステーションに残らないため, ピアツーピア環境での認証にはあまり適していません。
目的
ENC-TKT-IN-SKEY オプションは次の方法でユーザー間認証をサポートします:
- KDC が別のユーザーに発行された別の TGT からのセッション鍵を使用して暗号化されたサービスチケットを発行できるようにします
- チケット付与サービスによってのみ尊重されます
- エンドサーバーに発行されるチケットが, 要求と共に提供される追加の 2 番目の TGT からのセッション鍵で暗号化されることを示します
詳細についてはセクション 3.3.3 を参照してください。
2.9.3. Passwordless Hardware Authentication (パスワードレスハードウェア認証)
OPT-HARDWARE-AUTH オプションは, クライアントがクライアントのパスワードまたは他の長期暗号化鍵の代わりに, またはそれに加えて, 何らかの形式のハードウェア認証を使用したいことを示します。
動作
- OPT-HARDWARE-AUTH は認証サービスによってのみ尊重されます
- サポートされており, ポリシーによって許可されている場合, KDC は KDC_ERR_PREAUTH_REQUIRED のエラーコードを返します
- そのような認証を実行するために必要な METHOD-DATA を含みます
参考
完全な技術的詳細については, RFC 4120 セクション 2.9 を参照してください。