6.1. Realm Names (レルム名)
6.1. Realm Names (レルム名)
レルム (Realm) は, Kerberosプリンシパルの管理ドメインを定義します。レルム名は, プリンシパル名の一部として使用され, プリンシパルがどのKDCによって管理されているかを識別します。
レルム名の形式
レルム名は, GeneralString型を使用してエンコードされた文字列です。慣例により, レルム名は通常大文字で表記されますが, これは必須ではありません。レルム名の比較は大文字と小文字を区別します。
インターネットドメインベースのレルム名
最も一般的なレルム命名規則は, インターネットドメイン名をレルム名として使用することです。この場合:
- レルム名は, 組織のインターネットドメイン名を大文字で表記したものです
- 例:
EXAMPLE.COM,CS.STANFORD.EDU
この規則を使用する利点:
- グローバルな一意性: インターネットドメイン名は既にグローバルに一意であるため, レルム名の衝突を回避できます
- DNS統合: DNSを使用してKDCの場所を発見できます (セクション7.2.3を参照)
- 直感的: ユーザーにとって理解しやすい命名規則です
X.500 ベースのレルム名
X.500識別名をレルム名として使用することもできます:
- X.500名は, RFC 2253で定義された文字列表現を使用してエンコードされます
- 例:
C=US, O=Example Organization, OU=IT Department
X.500ベースのレルム名は, 既存のX.500ディレクトリインフラストラクチャを持つ組織に適していますが, インターネットドメインベースの命名ほど一般的ではありません。
その他のレルム名形式
組織は, 独自のレルム命名規則を定義することもできます。ただし, 以下の点に注意する必要があります:
- レルム名は, 組織内で一意でなければなりません (MUST)
- クロスレルム認証を使用する場合, 他の組織とレルム名が衝突しないようにする必要があります
- レルム名には, ASN.1 GeneralStringでサポートされている任意の文字を使用できます
レルム名の長さ
実装上の考慮事項として:
- レルム名の長さに厳密な制限はありませんが, 実用的な理由から短く保つことが推奨されます
- 非常に長いレルム名は, プロトコルメッセージのサイズを増加させ, ネットワーク効率に影響を与える可能性があります
- 実装は, 少なくとも255文字までのレルム名をサポートすべきです (SHOULD)
レルム名の比較
レルム名を比較する際:
- 比較は大文字と小文字を区別します (case-sensitive)
EXAMPLE.COMとexample.comは異なるレルムとして扱われます- 実装は, 正確な文字列一致を使用してレルム名を比較しなければなりません (MUST)
セキュリティ考慮事項
レルム名の選択は, セキュリティに影響を与える可能性があります:
- 一意性を確保することで, レルムのなりすましを防ぎます
- インターネットドメインベースの命名を使用する場合, ドメイン名の所有権を確認することが重要です
- レルム名は, 信頼関係を確立する際の重要な識別子です