1.5.1. Compatibility with RFC 1510 (与 RFC 1510 的兼容性)

请注意, 现有的 Kerberos 消息格式不能通过向 ASN.1 类型添加字段来轻松扩展。发送额外的字段通常会导致整个消息被丢弃而没有错误指示。本规范的未来版本将提供指南以确保可以添加 ASN.1 字段而不会产生互操作性问题。

同时, 所有接收到未知消息扩展的 Kerberos 的新实现或修改实现应该 (SHOULD) 保留扩展的编码, 但在其他方面忽略其存在。接收方禁止 (MUST NOT) 仅仅因为存在扩展而拒绝请求。

此规则有一个例外。如果服务器 (票据授予服务除外) 在 AP-REQ 中或在 AP-REQ 中包含的票据中接收到未知的授权数据元素类型, 则认证必须 (MUST) 失败。授权数据的主要用途之一是限制票据的使用。如果服务无法确定限制是否适用于该服务, 则如果票据可用于该服务, 则可能导致安全弱点。可选的授权元素应该 (SHOULD) 封装在 AD-IF-RELEVANT 元素中。

票据授予服务必须 (MUST) 忽略但传播到派生票据的任何未知授权数据类型, 除非这些数据类型嵌入在 MANDATORY-FOR-KDC 元素中, 在这种情况下请求将被拒绝。这种行为是适当的, 因为要求票据授予服务理解未知授权数据类型将需要在应用程序使用这些限制之前升级 KDC 软件以理解新的应用程序级限制, 从而降低授权数据作为限制票据使用的机制的实用性。不会产生安全问题, 因为颁发票据的服务将验证授权数据。

实现说明: 许多 RFC 1510 实现忽略未知的授权数据元素。依赖这些实现来遵守授权数据限制可能会产生安全弱点。