[ Pobierz całość w formacie PDF ]
.Kohl i C.Neumann.W tabeli 4.1.zamieszczono pierwsze trzy pola biletu.Nie są one zaszyfrowane; informacjezapisane są w postaci zwykłego tekstu, więc klient może je wykorzystać do zarządzania biletamiznajdującymi się w buforze. Pozostałe pola są zaszyfrowane za pomocą klucza tajnego (secret key) serwera.Pola teprzedstawiono w tabeli 4.2.Pole Znaczniki (Flags) jest polem bitowym, w którym opcje konfiguruje się, ustawiając lubkasując poszczególne bity.Chociaż pole to ma długość 32 bitów, tylko kilka znaczników biletu(ticket flags) jest interesujących.Przedstawiono je w tabeli 4.3.Klienci powinny znać niektóre informacje znajdujące się w biletach (tickets) i biletachgwarantujących bilety (TGTs), aby zarządzać swoim buforem danych uwierzytelniających(credentials cache).Centrum Dystrybucji Kluczy (KDC), zwracając bilet i klucz sesji (session key)jako wynik wymiany komunikatów usługi uwierzytelniania (AS information exchange) lub usługiwydawania biletów (TGS information exchange), umieszcza kopię klucza sesji klienta wstrukturze danych, która zawiera informacje w polach biletu (ticket fields) Znaczniki (Flags),Authtime, Starttime, Endtime i Renew-till.Cała struktura jest zaszyfrowana w kluczu klienta izwracana za pomocą komunikatów KRB_AS_REP i KRB_TGS_REP.Tabela 4.1.Pola biletu zawierające dane zapisane zwykłym tekstemNazwa pola OpisTkt-vno Numer wersji formatu biletu (ticket format).W przypadku protokołu Kerberos 5w polu tym zapisana jest 5.Obszar (realm) Nazwa obszaru (realm)  domeny, w której wydano dany bilet.Centrumdystrybucji kluczy (Key Distribution Centre  KDC) może wydawać biletytylko dla serwerów we własnym obszarze (realm), więc jest to także nazwaobszaru (realm) serwera.Sname Nazwa serweraTabela 4.2.Zaszyfrowane pola biletuNazwa pola OpisZnaczniki (flags) Opcje biletuKlucz (key) Klucz sesjiCrealm Nazwa obszaru (realm)  domeny klientaCname Nazwa klientaTransited Lista obszarów protokołu Kerberos biorących udział w uwierzytelnianiuklienta, któremu wydano dany bilet.Authtime Czas pierwszego uwierzytelniania przez klienta.Centrum dystrybucji kluczy(KDC) umieszcza w tym znacznik czasu (timestamp), gdy wyda biletgwarantujący bilet (Ticket Granting Bilet  TGT).Kiedy CentrumDystrybucji Kluczy wydaje bilety na podstawie biletu gwarantującego bilet, zapisuje kopię czasu pierwszego uwierzytelnienia biletu gwarantującegobilet (TGT) w polu Authtime w bilecie.Starttime Czas, po którym bilet jest ważnyEndtime Data ważności biletuRenew-till Maksymalny okres ważności, który można ustawić w bilecie za pomocąznacznika RENEW-ABLE.(opcja)Caddr Jeden lub kilka adresów, z których danych bilet może być wykorzystany.Jeśli pole jest wolne, bilet może być użyty z dowolnego adresu (opcja)Authorization Data Atrybuty uprawnień dla klienta.Protokół Kerberos nie interpretujezawartości tego pola.Interpretacja jest dokonywana przez usługę (opcja)Tabela 4.3.Znaczniki biletuNazwa znacznika OpisFORWARDABLE Informuje usługę wydawania biletów (Ticket Granting Service  TGS), żemoże wydać nowy bilet gwarantujący bilet (Ticket Granting Ticket  TGT)z innym adresem sieciowym na podstawie przedstawionego biletugwarantującego bilet (tylko w przypadku biletów gwarantujących bilet(TGTs).FORWARDED Wskazuje, że bilet gwarantujący bilet został przekazany dalej lub, że danybilet został wydany z przekazanego dalej biletu gwarantującego bilet.PROXIABLE Informuje usługę wydawania biletów (TGS), że może wydawać bilety zinnymi adresem sieciowym niż ten, który znajduje się w danym bileciegwarantującym bilet (TGT) (tylko w przypadku biletów gwarantującychbilety).PROXY Wskazuje, że adres sieciowy w bilecie jest inny niż adres w bileciegwarantującym bilet (TGT) użytym do uzyskania danego biletu.RENEWABLE Używany w kombinacji z polami Endtime i Renew-till, aby bilety z długimokresem ważności były odświeżane okresowo w Centrum DystrybucjiKluczy (KDC).INITIAL Wskazuje, że jest to bilet gwarantujący bilet (tylko w przypadku biletówgwarantujących bilety  TGT).Ograniczanie czasu życia biletu Bilety protokołu Kerberos mają określony czas początkowy (start time) i czas ważności(expiration time).W okresie ważności biletu klient, który otrzymał ten bilet do realizacji pewnejusługi, może go przedstawić i uzyskać dostęp do tej usługi, bez względu na to, ile razy korzystałwcześniej z danego biletu.Aby ograniczyć zagrożenia dla bezpieczeństwa biletu lubodpowiadającemu mu klucza sesji (session key), administratorzy mogą ustawić maksymalny czas życia biletów.Kiedy klient żąda od Centrum Dystrybucji Kluczy (KDC) biletu do jakiejś usługi, może żądaćokreślonego czasu początkowego (start time).Jeśli żądanie nie zawiera tego czasu lub on minął,Centrum Dystrybucji Kluczy wpisujeczas aktualny w polu Starttime biletu [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • swpc.opx.pl

    •