[要約] RFC 5021は、TCP上での拡張Kerberosバージョン5キー配布センター(KDC)の交換に関する仕様です。このRFCの目的は、KDC間のセキュアな通信を確立し、Kerberosプロトコルの信頼性と拡張性を向上させることです。
Network Working Group S. Josefsson Request for Comments: 5021 SJD Updates: 4120 August 2007 Category: Standards Track
Extended Kerberos Version 5 Key Distribution Center (KDC) Exchanges over TCP
拡張Kerberosバージョン5キーディストリビューション(KDC)TCPを介して交換
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
Abstract
概要
This document describes an extensibility mechanism for the Kerberos V5 protocol when used over TCP transports. The mechanism uses the reserved high-bit in the length field. It can be used to negotiate TCP-specific Kerberos extensions.
このドキュメントでは、TCPトランスポートを介して使用する場合のKerberos V5プロトコルの拡張機構について説明します。メカニズムは、長さフィールドに予約済みのハイビットを使用します。TCP固有のKerberos拡張機能の交渉に使用できます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Conventions Used in This Document . . . . . . . . . . . . . . . 2 3. Extension Mechanism for TCP Transport . . . . . . . . . . . . . 2 4. Interoperability Consideration . . . . . . . . . . . . . . . . 3 5. Security Considerations . . . . . . . . . . . . . . . . . . . . 4 6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 4 7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 5 8. Normative References . . . . . . . . . . . . . . . . . . . . . 5 Appendix A. Copying Conditions . . . . . . . . . . . . . . . . . . 6
The Kerberos V5 [3] specification, in section 7.2.2, reserves the high order bit in the initial length field for TCP transport for future expansion. This document updates [3] to describe the behaviour when that bit is set. This mechanism is intended for extensions that are specific for the TCP transport.
セクション7.2.2のKerberos V5 [3]仕様は、将来の拡張のためのTCP輸送の初期長さフィールドの高次ビットを留保します。このドキュメントは[3]を更新して、そのビットが設定されたときの動作を説明します。このメカニズムは、TCP輸送に固有の拡張を目的としています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
「必須」、「そうしない」、「必須」、「shall」、「shall "、" ingle "、" should "、" not "、" becommended "、" bay "、および「optional」は、RFC 2119 [1]に記載されているように解釈される。
The reserved high bit of the request length field is used to signal the use of this extension mechanism. When the reserved high bit is set in the length field, the remaining 31 bits of the initial 4 octets are interpreted as a bitmap. Each bit in the bitmask can be used to request a particular extension. The 31 bits form the "extension bitmask". It is expected that other documents will describe the details associated with particular bits.
リクエスト長の高ビットフィールドの予約済みビットは、この拡張メカニズムの使用を知らせるために使用されます。予約された高ビットが長さフィールドに設定されると、最初の4オクテットの残りの31ビットはビットマップとして解釈されます。ビットマスクの各ビットを使用して、特定の拡張機能を要求できます。31ビットは「拡張ビットマスク」を形成します。他のドキュメントは、特定のビットに関連する詳細を説明することが期待されています。
A 4-octet value with only the high bit set, and thus the extension bitmask all zeros, is called a PROBE. A client may send a probe to find out which extensions a KDC supports. A client may also set particular bits in the extension bitmask directly, if it does not need to query the KDC for available extensions before deciding which extension to request.
ハイビットセットのみを備えた4-OCTET値、したがって拡張機能はすべてのゼロと呼ばれ、プローブと呼ばれます。クライアントは、KDCがサポートする拡張機能を見つけるためにプローブを送信する場合があります。クライアントは、リクエストする拡張機能を決定する前に、利用可能な拡張機能をKDCに照会する必要がない場合、拡張機能ビットマスクに特定のビットを直接設定することもできます。
Note that clients are not forced to use this extension mechanism, and further, clients are expected to only use it when they wish to negotiate a particular extension.
クライアントはこの拡張メカニズムを使用することを余儀なくされておらず、さらに、クライアントは特定の拡張機能を交渉する場合にのみ使用することが期待されています。
The protocol is as follows. The client MUST begin by sending a 4-octet value with the high bit set. The packet is thus either a PROBE or a specific request for some extension(s). The client MUST NOT send additional data before the server has responded.
プロトコルは次のとおりです。クライアントは、ハイビットセットで4オクセットの値を送信することから始めなければなりません。したがって、パケットは、プローブまたは一部の拡張機能の特定のリクエストのいずれかです。クライアントは、サーバーが応答する前に追加のデータを送信してはなりません。
If a KDC receives a request for a set of extensions that it supports, it MUST respond by sending a 4-octet zero value, i.e., 0x00000000. The KDC MAY directly send additional data after the zero value, without waiting for the client to respond, as specified by the particular negotiated extension. (Note: A 4-octet zero value can never be sent by an implementation that conforms to RFC 4120 and that does not support this extension mechanism, because a KRB-ERROR is always of non-zero size.) If a KDC receives a PROBE, or if a KDC does not support all extensions corresponding to set bits in the extension bitmask, the KDC MUST return 4 octets with the high bit set, and with the remaining bitmask indicating which extensions it supports. The KDC then MUST wait, and the client MUST send a second 4-octet value with the high bit set. If the second 4-octet value is a PROBE or an unsupported extension, the KDC MUST close the connection. This can be used by the client to shut down a session when the KDC did not support an extension that is required by the client. If the second 4-octet value is a supported extension, the KDC MUST respond by sending a 4-octet zero value, i.e., 0x00000000. The KDC MAY directly send additional data after the zero value, as specified by the particular negotiated extension.
KDCがサポートする一連の拡張機能のリクエストを受信した場合、4-OCTETゼロ値、つまり0x00000000を送信することで応答する必要があります。KDCは、特定の交渉済み拡張機能で指定されているように、クライアントが応答するのを待つことなく、ゼロ値の後に追加データを直接送信する場合があります。(注:krb-errorは常にゼロサイズであるため、4-OCTETゼロ値は、RFC 4120に適合し、この拡張メカニズムをサポートしない実装によって送信することはできません。)KDCがプローブを受信した場合、またはKDCが拡張ビットのセットビットに対応するすべての拡張機能をサポートしていない場合、KDCはハイビットセットで4オクテットを返す必要があり、残りのビットマスクはサポートする拡張機能を示す必要があります。その後、KDCは待機する必要があり、クライアントはハイビットセットで2番目の4オクテット値を送信する必要があります。2番目の4-OCTET値がプローブまたはサポートされていない拡張機能である場合、KDCは接続を閉じる必要があります。これは、KDCがクライアントが必要とする拡張機能をサポートしなかった場合にセッションをシャットダウンするためにクライアントが使用できます。2番目の4-OCTET値がサポートされている拡張機能である場合、KDCは4-OCTETゼロ値、つまり0x00000000を送信して応答する必要があります。KDCは、特定の交渉済み拡張で指定されているように、ゼロ値の後に追加データを直接送信する場合があります。
The client and KDC SHOULD wait for the other side to respond according to this protocol, and the client and KDC SHOULD NOT close the connection prematurely. Resource availability considerations may influence whether, and for how long, the client and KDC will wait for the other side to respond to a request.
クライアントとKDCは、このプロトコルに従って反対側が応答するのを待つ必要があり、クライアントとKDCは接続を時期尚早に閉じてはなりません。リソースの可用性の考慮事項は、クライアントとKDCが反対側がリクエストに応答するのを待つかどうか、そしてどのくらいの期間に影響するかに影響する可能性があります。
The KDC MUST NOT support the extension mechanism if it does not support any extensions. If no extensions are supported, the KDC MUST return a KRB-ERROR message with the error KRB_ERR_FIELD_TOOLONG and MUST close the TCP stream, similar to what an implementation that does not understand this extension mechanism would do.
KDCは、拡張メカニズムが拡張機能をサポートしない場合は、拡張メカニズムをサポートしてはなりません。拡張機能がサポートされていない場合、KDCはエラーkrb_err_field_toolongでkrb-errorメッセージを返す必要があり、この拡張メカニズムが理解していない実装と同様に、TCPストリームを閉じる必要があります。
The behaviour when more than one non-high bit is set depends on the particular extension mechanisms. If a requested extension (bit X) does not specify how it interacts with another requested extension (bit Y), the KDC MUST treat the request as a PROBE or unsupported extension, and proceed as above.
複数の非高ビットが設定されている場合の動作は、特定の拡張メカニズムに依存します。要求された拡張機能(ビットx)が別の要求された拡張機能(ビットy)との相互作用方法を指定していない場合、KDCはリクエストをプローブまたはサポートされていない拡張機能として扱う必要があり、上記のように進行する必要があります。
Each extension MUST describe the structure of protocol data beyond the length field, and the behaviour of the client and KDC. In particular, the structure may be a protocol with its own message framing. If an extension mechanism reserves multiple bits, it MUST describe how they interact.
各拡張機能は、長さフィールドを超えたプロトコルデータの構造と、クライアントとKDCの動作を記述する必要があります。特に、構造は、独自のメッセージフレーミングを備えたプロトコルである可能性があります。拡張メカニズムが複数のビットを留保する場合、それらがどのように相互作用するかを説明する必要があります。
Implementations with support for TCP that do not claim to conform to RFC 4120 may not handle the high bit correctly. The KDC behaviour may include closing the TCP connection without any response, and logging an error message in the KDC log. When this was written, this problem existed in modern versions of popular KDC implementations. Implementations experiencing trouble getting the expected responses from a KDC might assume that the KDC does not support this extension mechanism. A client might remember this semi-permanently, to avoid triggering the same problematic behaviour on the KDC every time. Care should be taken to avoid unexpected behaviour for the user when the KDC is eventually upgraded. Implementations might also provide a way to enable and disable this extension on a per-realm basis. How to handle these backwards compatibility quirks are in general left unspecified.
RFC 4120に準拠していないと主張していないTCPのサポートを備えた実装は、高ビットを正しく処理できない場合があります。KDCの動作には、応答せずにTCP接続を閉じること、KDCログにエラーメッセージのログを記録することが含まれます。これが書かれたとき、この問題は人気のあるKDC実装の現代バージョンに存在していました。KDCから予想される応答を取得するのに問題がある実装は、KDCがこの拡張メカニズムをサポートしていないと仮定する可能性があります。クライアントは、毎回KDCで同じ問題のある動作をトリガーすることを避けるために、これを半人間に覚えているかもしれません。KDCが最終的にアップグレードされたときに、ユーザーの予期しない動作を避けるために注意する必要があります。また、実装は、この拡張機能を実現して無効にする方法を提供する場合があります。これらの後方互換性の癖を処理する方法は、一般に不特定のままです。
Because the initial length field is not protected, it is possible for an active attacker (i.e., one that is able to modify traffic between the client and the KDC) to make it appear to the client that the server does not support this extension mechanism (a downgrade attack). Further, active attackers can also interfere with the negotiation of which extensions are supported, which may also result in a downgrade attack. This problem can be solved by having a policy in the clients and in the KDC to reject connections that do not have the desired properties. The problem can also be mitigated by having the negotiated extension send a cryptographic checksum of the offered extensions.
初期の長さフィールドは保護されていないため、アクティブな攻撃者(つまり、クライアントとKDCの間のトラフィックを変更できる)が、サーバーがこの拡張メカニズムをサポートしていないことをクライアントに表示させる可能性があります(つまり、クライアントがクライアントに表示します(ダウングレード攻撃)。さらに、アクティブな攻撃者は、拡張機能がサポートされている交渉を妨害する可能性があります。この問題は、クライアントとKDCにポリシーを持ち、目的のプロパティを持たない接続を拒否することで解決できます。この問題は、交渉された拡張機能に提供された拡張機能の暗号化チェックサムを送信することで軽減することもできます。
IANA has created a new registry for "Kerberos TCP Extensions". The initial contents of this registry are:
IANAは、「Kerberos TCP拡張機能」の新しいレジストリを作成しました。このレジストリの最初の内容は次のとおりです。
Bit # Reference ----- --------- 0..29 AVAILABLE for registration. 30 RESERVED. RFC 5021
IANA will register values 0 to 29 after IESG Approval, as defined in BCP 64 [2]. Assigning value 30 requires a Standards Action that updates or obsoletes this document.
IANAは、BCP 64 [2]で定義されているように、IESG承認後に値0〜29を登録します。Value 30の割り当てには、このドキュメントを更新または廃止する標準アクションが必要です。
Registration policy: The IESG will act as a steward for the namespace, considering whether the registration is justified given the limited size of the namespace. The IESG will also confirm that proposed registrations are not harmful to the Internet.
登録ポリシー:IESGは、名前空間のサイズが限られていることを考慮して登録が正当化されるかどうかを考慮して、名前空間のスチュワードとして機能します。IESGは、提案された登録がインターネットに有害ではないことを確認します。
Nicolas Williams, Jeffrey Hutzelman, Sam Hartman, and Chris Newman provided comments that improved the protocol and document.
ニコラス・ウィリアムズ、ジェフリー・ハッツェルマン、サム・ハートマン、クリス・ニューマンは、プロトコルと文書を改善するコメントを提供しました。
Thanks to Andrew Bartlett who pointed out that some implementations (MIT Kerberos and Heimdal) did not follow RFC 4120 properly with regards to the high bit, which resulted in an Interoperability Consideration.
いくつかの実装(MIT KerberosとHeimdal)が高いビットに関してRFC 4120を適切に追跡しなかったことを指摘したAndrew Bartlettに感謝します。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[2] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[2] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[3] Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos Network Authentication Service (V5)", RFC 4120, July 2005.
[3] Neuman、C.、Yu、T.、Hartman、S。、およびK. Raeburn、「The Kerberos Network Authentication Service(V5)」、RFC 4120、2005年7月。
Regarding this entire document or any portion of it, the author makes no guarantees and is not responsible for any damage resulting from its use. The author grants irrevocable permission to anyone to use, modify, and distribute it in any way that does not diminish the rights of anyone else to use, modify, and distribute it, provided that redistributed derivative works do not contain misleading author or version information. Derivative works need not be licensed under similar terms.
このドキュメント全体またはその一部に関して、著者は保証を行わず、その使用に起因する損害について責任を負いません。著者は、再配分されたデリバティブ作業に誤解を招く著者またはバージョン情報が含まれていない限り、他の人がそれを使用、変更、および配布する権利を減少させない方法で使用、変更、配布する人に取消不能の許可を与えます。デリバティブ作業は、同様の条件でライセンスされる必要はありません。
Author's Address
著者の連絡先
Simon Josefsson SJD
サイモン・ジョセフソンSJD
EMail: simon@josefsson.org
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。