7.1. Host Address Types (ホストアドレスタイプ)
7.1. Host Address Types (ホストアドレスタイプ)
Kerberosチケット内のホストアドレスは, チケットの使用を特定のネットワーク場所に制限できます。様々なネットワークプロトコルをサポートするために, 様々なアドレスタイプが定義されています。
定義されたアドレスタイプ
| タイプ | 値 | 説明 |
|---|---|---|
| IPv4 | 2 | インターネットプロトコル V4 |
| Directional | 3 | 方向性アドレス |
| ChaosNet | 5 | ChaosNetアドレス |
| XNS | 6 | Xerox Network Services |
| ISO | 7 | ISOプロトコル |
| DECNET Phase IV | 12 | DECnet Phase IV |
| AppleTalk DDP | 16 | AppleTalk DDP |
| NetBios | 20 | NetBiosアドレス |
| IPv6 | 24 | インターネットプロトコル V6 |
一般的なアドレスタイプ
IPv4 (タイプ 2)
- 最も一般的に使用されるアドレスタイプです
- 4バイトのアドレス (例: 192.168.1.1)
- ネットワークバイトオーダー (big-endian) でエンコードされます
IPv6 (タイプ 24)
- 最新のインターネットプロトコル
- 16バイトのアドレス
- IPv4の枯渇に対応します
Directional (タイプ 3)
- 方向性アドレスタイプ
- ネットワークアドレス変換 (NAT) 環境で使用されます
- 送信者または受信者のアドレスを示すために使用できます
使用法
ホストアドレスは以下の目的で使用されます:
- チケット内のアドレス制限: チケットが特定のネットワーク場所からのみ使用できるように制限します
- クライアントアドレス検証: サービスはクライアントのアドレスを検証できます
- ネットワーク場所ベースのアクセス制御: 特定のネットワークからのアクセスを許可または拒否します
- アドレスベースのチケット制限: セキュリティポリシーに基づいてチケットの使用を制限します
セキュリティ考慮事項
アドレスベースの制限には以下の制限があります:
- アドレススプーフィング: 一部のネットワーク環境ではアドレスが偽装される可能性があります
- NATとプロキシ: ネットワークアドレス変換とプロキシはアドレスベースの制限を複雑にします
- アドレスレスチケット: 最近の展開では, アドレスレスチケットが一般的です
- ポリシー決定: セキュリティポリシーはアドレスのみに依存すべきではありません (SHOULD NOT)
実装ガイダンス
実装者は以下を考慮すべきです:
- IPv4とIPv6の両方をサポートすべきです (SHOULD)
- アドレスレスチケットを受け入れる準備ができているべきです (SHOULD)
- NAT環境での動作を考慮すべきです (SHOULD)
- 方向性アドレスタイプの使用を検討できます (MAY)
現代的な使用法
多くの最近の展開では:
- アドレス制限はオプションまたは無効になっています
- NAT環境での互換性のためにアドレスレスチケットが使用されます
- セキュリティは他のメカニズム (強力な認証, 認可ポリシー) に依存します
完全なリストと詳細については, RFC 4120のセクション7.1とセクション7.5.3を参照してください。