6. Naming Constraints (命名约束)
6. Naming Constraints (命名约束)
本节指定 Kerberos 域和主体的命名约定和约束。正确的命名对于互操作性和安全性至关重要。
6.1. Realm Names (域名)
域名标识 Kerberos 管理域。
Conventions (约定)
- 通常使用大写域样式名称
- 通常基于 DNS 域名
- 支持层次结构
- 示例: EXAMPLE.COM
Requirements (要求)
- 区分大小写的比较
- 不应包含空格
- 适当时应使用域样式层次结构
6.2. Principal Names (主体名称)
主体名称标识 Kerberos 中的实体 (用户、服务)。
Structure (结构)
- 名称类型标识解释方式
- 名称组件序列
- 域标识管理域
- 格式: name/instance@REALM
Name Types (名称类型)
- NT-PRINCIPAL - 通用主体名称
- NT-SRV-INST - 带实例的服务
- NT-SRV-HST - 带主机名的服务
- NT-UID - 唯一 ID
- 以及其他类型
Security Considerations (安全考虑)
- 正确的名称规范化防止冒充
- 必须仔细管理域信任关系
- 服务名称应遵循一致的约定
- 避免依赖不安全的名称解析
Reference (参考)
有关完整的命名规范, 请参阅 RFC 4120 Section 6。