メインコンテンツまでスキップ

7.2. KDC Messaging: IP Transports (KDC メッセージング: IP トランスポート)

7.2. KDC Messaging: IP Transports (KDC メッセージング: IP トランスポート)

概要

Kerberos クライアントは, IP ネットワーク上で UDP または TCP を用いて KDC と通信する。本節ではトランスポート要件と KDC 発見メカニズムを規定する。

7.2.1. UDP/IP トランスポート

デフォルト動作

KDC はポート 88 (UDP) で待ち受ける
クライアントは UDP で要求を送る
小さなメッセージに適する

制限

実用上の最大 UDP パケットサイズの考慮
大きなメッセージでは TCP が必要になることがある
ネットワーク MTU が利用可能性に影響する

7.2.2. TCP/IP トランスポート

使用場面

KDC はポート 88 (TCP) で待ち受ける
UDP の制限を超える大きなメッセージに必要
一部のネットワーク環境ではより信頼性が高い

接続の扱い

クライアントが TCP 接続を開始する
各メッセージの前に 4 バイトの長さフィールドが先行する
1 つの接続で複数回のやりとりを運べる
接続管理に関する考慮事項がある

7.2.3. IP ネットワークにおける KDC 発見

DNS ベースの発見

KDC 位置の SRV レコード
形式: _kerberos._udp.REALM および _kerberos._tcp.REALM
自動 KDC 発見を可能にする
複数 KDC に対する優先度と重み

静的構成

クライアント構成における手動の KDC アドレス
krb5.conf または同等物
DNS が利用不能な場合のフォールバック

マスター KDC 発見

_kerberos-master._udp.REALM
_kerberos-master._tcp.REALM
パスワード変更および管理操作に用いられる

セキュリティ上の考慮

DNS 応答は信頼できない場合がある
安全な KDC 発見には DNSSEC を推奨
静的構成は柔軟性は低いがより安全な場合がある

ポート番号

標準ポート: 88 (UDP および TCP の両方)
IANA に登録
両トランスポートをサポートすべき

参照

トランスポートの完全な仕様については, RFC 4120 Section 7.2 を参照すること。

7.2. KDC Messaging: IP Transports (KDC メッセージング: IP トランスポート)
概要
7.2.1. UDP/IP トランスポート
- デフォルト動作
- 制限
7.2.2. TCP/IP トランスポート
- 使用場面
- 接続の扱い
7.2.3. IP ネットワークにおける KDC 発見
ポート番号
参照