7.5. Protocol Constants and Associated Values (プロトコル定数と関連値)

7.5. Protocol Constants and Associated Values (プロトコル定数と関連値)

以下の表はプロトコルで用いられる定数とその意味を列挙する。「仕様 (specification)」の節では, ここで値が定義される定数の値の範囲を規定する。これにより実装は, これらの定数について受信する最大値について仮定を置ける。「仕様」の節で規定された範囲外の値を受信した実装は要求を拒否してもよい (MAY) が, きれいに回復しなければならない (MUST)。

7.5.1. 鍵使用番号 (Key Usage Numbers)

[RFC3961] の暗号化およびチェックサム仕様は入力として「鍵使用番号 (key usage number)」を必要とし, 特定のメッセージで用いる暗号化鍵を変化させ, 特定種類の暗号攻撃をより困難にする。本文書で割り当てる鍵使用値は次のとおり。

1. AS-REQ PA-ENC-TIMESTAMP padata のタイムスタンプ, クライアント鍵で暗号化 (セクション 5.2.7.2)

2. AS-REP チケットおよび TGS-REP チケット (TGS セッション鍵またはアプリケーションセッション鍵を含む), サービス鍵で暗号化 (セクション 5.3)

3. AS-REP 暗号化部分 (TGS セッション鍵またはアプリケーションセッション鍵を含む), クライアント鍵で暗号化 (セクション 5.4.2)

4. TGS-REQ KDC-REQ-BODY AuthorizationData, TGS セッション鍵で暗号化 (セクション 5.4.1)

5. TGS-REQ KDC-REQ-BODY AuthorizationData, TGS 認証子サブ鍵で暗号化 (セクション 5.4.1)

6. TGS-REQ PA-TGS-REQ padata AP-REQ Authenticator cksum, TGS セッション鍵で鍵付け (セクション 5.5.1)

7. TGS-REQ PA-TGS-REQ padata AP-REQ Authenticator (TGS 認証子サブ鍵を含む), TGS セッション鍵で暗号化 (セクション 5.5.1)

8. TGS-REP 暗号化部分 (アプリケーションセッション鍵を含む), TGS セッション鍵で暗号化 (セクション 5.4.2)

9. TGS-REP 暗号化部分 (アプリケーションセッション鍵を含む), TGS 認証子サブ鍵で暗号化 (セクション 5.4.2)

10. AP-REQ Authenticator cksum, アプリケーションセッション鍵で鍵付け (セクション 5.5.1)

11. AP-REQ Authenticator (アプリケーション認証子サブ鍵を含む), アプリケーションセッション鍵で暗号化 (セクション 5.5.1)

12. AP-REP 暗号化部分 (アプリケーションセッションサブ鍵を含む), アプリケーションセッション鍵で暗号化 (セクション 5.5.2)

13. KRB-PRIV 暗号化部分, アプリケーションが選んだ鍵で暗号化 (セクション 5.7.1)

14. KRB-CRED 暗号化部分, アプリケーションが選んだ鍵で暗号化 (セクション 5.8.1)

15. KRB-SAFE cksum, アプリケーションが選んだ鍵で鍵付け (セクション 5.6.1)

16-18. Kerberos および関連プロトコルにおける将来の使用のために予約。

19. AD-KDC-ISSUED チェックサム (5.2.6.4 の ad-checksum)

20-21. Kerberos および関連プロトコルにおける将来の使用のために予約。

22-25. Kerberos Version 5 GSS-API メカニズム [RFC4121] での使用のために予約。

      26-511.  Reserved for future use in Kerberos and related
               protocols.
    512-1023.  Reserved for uses internal to a Kerberos implementation.

1024. 鍵使用値を規定しないプロトコルにおけるアプリケーション用の暗号化

1025. 鍵使用値を規定しないプロトコルにおけるアプリケーション用のチェックサム

1026-2047. アプリケーション用に予約。

7.5.2. 事前認証データ型 (PreAuthentication Data Types)

Padata / データ型	Padata-type	コメント
PA-TGS-REQ	1
PA-ENC-TIMESTAMP	2
PA-PW-SALT	3
[reserved]	4
PA-ENC-UNIX-TIME	5	(廃止)
PA-SANDIA-SECUREID	6
PA-SESAME	7
PA-OSF-DCE	8
PA-CYBERSAFE-SECUREID	9
PA-AFS3-SALT	10
PA-ETYPE-INFO	11
PA-SAM-CHALLENGE	12	(sam/otp)
PA-SAM-RESPONSE	13	(sam/otp)
PA-PK-AS-REQ_OLD	14	(pkinit)
PA-PK-AS-REP_OLD	15	(pkinit)
PA-PK-AS-REQ	16	(pkinit)
PA-PK-AS-REP	17	(pkinit)
PA-ETYPE-INFO2	19	(pa-etype-info の置換)
PA-USE-SPECIFIED-KVNO	20
PA-SAM-REDIRECT	21	(sam/otp)
PA-GET-FROM-TYPED-DATA	22	(typed data 内に埋め込み)
TD-PADATA	22	(padata を埋め込む)
PA-SAM-ETYPE-INFO	23	(sam/otp)
PA-ALT-PRINC	24	([email protected])
PA-SAM-CHALLENGE2	30	([email protected])
PA-SAM-RESPONSE2	31	([email protected])
PA-EXTRA-TGT	41	追加 TGT 予約
TD-PKINIT-CMS-CERTIFICATES	101	CMS の CertificateSet
TD-KRB-PRINCIPAL	102	PrincipalName
TD-KRB-REALM	103	Realm
TD-TRUSTED-CERTIFIERS	104	PKINIT 由来
TD-CERTIFICATE-INDEX	105	PKINIT 由来
TD-APP-DEFINED-ERROR	106	アプリケーション固有
TD-REQ-NONCE	107	INTEGER
TD-REQ-SEQ	108	INTEGER
PA-PAC-REQUEST	128	([email protected])

7.5.3. アドレスタイプ (Address Types)

アドレスタイプ	値
IPv4	2
Directional	3
ChaosNet	5
XNS	6
ISO	7
DECNET Phase IV	12
AppleTalk DDP	16
NetBios	20
IPv6	24

7.5.4. 認可データ型 (Authorization Data Types)

認可データ型	Ad-type 値
AD-IF-RELEVANT	1
AD-INTENDED-FOR-SERVER	2
AD-INTENDED-FOR-APPLICATION-CLASS	3
AD-KDC-ISSUED	4
AD-AND-OR	5
AD-MANDATORY-TICKET-EXTENSIONS	6
AD-IN-TICKET-EXTENSIONS	7
AD-MANDATORY-FOR-KDC	8
予約値	9-63
OSF-DCE	64
SESAME	65
AD-OSF-DCE-PKI-CERTID	66 ([email protected])
AD-WIN2K-PAC	128 ([email protected])
AD-ETYPE-NEGOTIATION	129 ([email protected])

7.5.5. 経路エンコーディング型 (Transited Encoding Types)

経路エンコーディング型	Tr-type 値
DOMAIN-X500-COMPRESS	1
予約値	その他すべて

7.5.6. プロトコルバージョン番号 (Protocol Version Number)

ラベル	値	意味または MIT コード
pvno	5	現行 Kerberos プロトコルバージョン番号

7.5.7. Kerberos メッセージ型 (Kerberos Message Types)

メッセージ型	値	意味
KRB_AS_REQ	10	初回認証要求
KRB_AS_REP	11	KRB_AS_REQ への応答
KRB_TGS_REQ	12	TGT に基づく認証要求
KRB_TGS_REP	13	KRB_TGS_REQ への応答
KRB_AP_REQ	14	サーバーへのアプリケーション要求
KRB_AP_REP	15	KRB_AP_REQ_MUTUAL への応答
KRB_RESERVED16	16	user-to-user krb_tgt_request 用に予約
KRB_RESERVED17	17	user-to-user krb_tgt_reply 用に予約
KRB_SAFE	20	安全 (チェックサム付き) アプリケーションメッセージ
KRB_PRIV	21	プライベート (暗号化) アプリケーションメッセージ
KRB_CRED	22	クレデンシャル転送用プライベート (暗号化) メッセージ
KRB_ERROR	30	エラー応答

7.5.8. 名前型 (Name Types)

名前型	値	意味
KRB_NT_UNKNOWN	0	名前型不明
KRB_NT_PRINCIPAL	1	DCE におけるプリンシパル名のみ, またはユーザー向け
KRB_NT_SRV_INST	2	サービスおよびその他の一意インスタンス (krbtgt)
KRB_NT_SRV_HST	3	インスタンスにホスト名を持つサービス (telnet, rcommands)
KRB_NT_SRV_XHST	4	残りの構成要素にホストを持つサービス
KRB_NT_UID	5	一意 ID
KRB_NT_X500_PRINCIPAL	6	エンコードされた X.509 識別名 [RFC2253]
KRB_NT_SMTP_NAME	7	SMTP メール名形式 (例: [email protected])
KRB_NT_ENTERPRISE	10	エンタープライズ名, プリンシパル名へマップされ得る

7.5.9. エラーコード (Error Codes)

エラーコード	値	意味
KDC_ERR_NONE	0	エラーなし
KDC_ERR_NAME_EXP	1	データベース内のクライアントのエントリの有効期限切れ
KDC_ERR_SERVICE_EXP	2	データベース内のサーバーのエントリの有効期限切れ
KDC_ERR_BAD_PVNO	3	要求されたプロトコルバージョン番号はサポートされない
KDC_ERR_C_OLD_MAST_KVNO	4	クライアントの鍵が旧マスタ鍵で暗号化されている
KDC_ERR_S_OLD_MAST_KVNO	5	サーバーの鍵が旧マスタ鍵で暗号化されている
KDC_ERR_C_PRINCIPAL_UNKNOWN	6	Kerberos データベースにクライアントが見つからない
KDC_ERR_S_PRINCIPAL_UNKNOWN	7	Kerberos データベースにサーバーが見つからない
KDC_ERR_PRINCIPAL_NOT_UNIQUE	8	データベースに複数のプリンシパルエントリがある
KDC_ERR_NULL_KEY	9	クライアントまたはサーバーがヌル鍵を持つ
KDC_ERR_CANNOT_POSTDATE	10	チケットは事後日付の対象にならない
KDC_ERR_NEVER_VALID	11	要求された starttime は end time より後
KDC_ERR_POLICY	12	KDC ポリシーが要求を拒否
KDC_ERR_BADOPTION	13	KDC が要求されたオプションに対応できない
KDC_ERR_ETYPE_NOSUPP	14	KDC は暗号タイプをサポートしない
KDC_ERR_SUMTYPE_NOSUPP	15	KDC はチェックサムタイプをサポートしない
KDC_ERR_PADATA_TYPE_NOSUPP	16	KDC は padata タイプをサポートしない
KDC_ERR_TRTYPE_NOSUPP	17	KDC は transited タイプをサポートしない
KDC_ERR_CLIENT_REVOKED	18	クライアントのクレデンシャルは失効済み
KDC_ERR_SERVICE_REVOKED	19	サーバーのクレデンシャルは失効済み
KDC_ERR_TGT_REVOKED	20	TGT は失効済み
KDC_ERR_CLIENT_NOTYET	21	クライアントはまだ有効でない, 後で再試行
KDC_ERR_SERVICE_NOTYET	22	サーバーはまだ有効でない, 後で再試行
KDC_ERR_KEY_EXPIRED	23	パスワードの有効期限切れ, リセットのため変更
KDC_ERR_PREAUTH_FAILED	24	事前認証情報が無効
KDC_ERR_PREAUTH_REQUIRED	25	追加の事前認証が必要
KDC_ERR_SERVER_NOMATCH	26	要求されたサーバーとチケットが一致しない
KDC_ERR_MUST_USE_USER2USER	27	サーバープリンシパルは user2user のみで有効
KDC_ERR_PATH_NOT_ACCEPTED	28	KDC ポリシーが経路を拒否
KDC_ERR_SVC_UNAVAILABLE	29	サービスが利用できない
KRB_AP_ERR_BAD_INTEGRITY	31	復号フィールドの完全性検査に失敗
KRB_AP_ERR_TKT_EXPIRED	32	チケットの有効期限切れ
KRB_AP_ERR_TKT_NYV	33	チケットはまだ有効でない
KRB_AP_ERR_REPEAT	34	要求はリプレイ
KRB_AP_ERR_NOT_US	35	チケットは当方向けではない
KRB_AP_ERR_BADMATCH	36	チケットと認証子が一致しない
KRB_AP_ERR_SKEW	37	時刻のずれが大きすぎる
KRB_AP_ERR_BADADDR	38	不正なネットワークアドレス
KRB_AP_ERR_BADVERSION	39	プロトコルバージョンの不一致
KRB_AP_ERR_MSG_TYPE	40	無効な msg 型
KRB_AP_ERR_MODIFIED	41	メッセージストリームが改ざんされた
KRB_AP_ERR_BADORDER	42	メッセージの順序が不正
KRB_AP_ERR_BADKEYVER	44	指定された鍵バージョンは利用できない
KRB_AP_ERR_NOKEY	45	サービス鍵が利用できない
KRB_AP_ERR_MUT_FAIL	46	相互認証に失敗
KRB_AP_ERR_BADDIRECTION	47	メッセージ方向が不正
KRB_AP_ERR_METHOD	48	代替認証方式が必要
KRB_AP_ERR_BADSEQ	49	メッセージ内のシーケンス番号が不正
KRB_AP_ERR_INAPP_CKSUM	50	メッセージ内のチェックサムの型が不適切
KRB_AP_PATH_NOT_ACCEPTED	51	ポリシーが経路を拒否
KRB_ERR_RESPONSE_TOO_BIG	52	UDP に対して応答が大きすぎる, TCP で再試行
KRB_ERR_GENERIC	60	汎用エラー (説明は e-text 内)
KRB_ERR_FIELD_TOOLONG	61	フィールドがこの実装には長すぎる
KDC_ERROR_CLIENT_NOT_TRUSTED	62	PKINIT 用に予約
KDC_ERROR_KDC_NOT_TRUSTED	63	PKINIT 用に予約
KDC_ERROR_INVALID_SIG	64	PKINIT 用に予約
KDC_ERR_KEY_TOO_WEAK	65	PKINIT 用に予約
KDC_ERR_CERTIFICATE_MISMATCH	66	PKINIT 用に予約
KRB_AP_ERR_NO_TGT	67	USER-TO-USER を検証する TGT がない
KDC_ERR_WRONG_REALM	68	将来の使用のために予約
KRB_AP_ERR_USER_TO_USER_REQUIRED	69	チケットは USER-TO-USER 向けでなければならない
KDC_ERR_CANT_VERIFY_CERTIFICATE	70	PKINIT 用に予約
KDC_ERR_INVALID_CERTIFICATE	71	PKINIT 用に予約
KDC_ERR_REVOKED_CERTIFICATE	72	PKINIT 用に予約
KDC_ERR_REVOCATION_STATUS_UNKNOWN	73	PKINIT 用に予約
KDC_ERR_REVOCATION_STATUS_UNAVAILABLE	74	PKINIT 用に予約
KDC_ERR_CLIENT_NAME_MISMATCH	75	PKINIT 用に予約
KDC_ERR_KDC_NAME_MISMATCH	76	PKINIT 用に予約