Kerberosネットワーク認証サービスv5

このメモは、インターネットコミュニティのための実験的なプロトコルを定めたものです。この内容について検討や提案を行い、意見を寄せください。プロトコルの内容と標準化については、 "Internet Official Protocol Standards"の最新版を参照してください。このメモの配布に制限はありません。

要旨

本書は、 Kerberosネットワーク認証システムのプロトコルv5の概要と仕様について説明しています。 [1, 2] において説明されているv4は、現在MITのAthenaプロジェクトや他のインターネットサイトにおいて運用されています。

概要

「Project Athena」、「Athena」、「Athena MUSE」、「Discuss」、「Hesiod」、「Kerberos」、「Moira」および「Zephyr」は、マサチューセッツ工科大学(MIT： Massachusetts Institute of Technology)の商標です。 MITの書面による事前承諾なしに、これらの商標を商業目的で使用することを禁じます。

このRFCは、 Kerberosネットワーク認証システムの基礎となっている概念とモデルについて説明しています。また、Kerberosプロトコルv5についても規定しています。

設計仕様を決定するにあたって検討された、動機付け、目標、仮定および論理的根拠は、ほとんどの場合、通り一遍に扱われてしまいがちですが、 v4のものについては、Athena Technical Plan [1]のKerberosの部分において詳細に説明されています。プロトコルは、レビュー中で、現時点ではインターネット標準としては提出されていません。ご意見をお待ちしております。 Kerberosについて討議するメーリングリスト(kerberos@MIT.EDU)への登録を希望する場合、 kerberos-request@MIT.EDUまで電子メールを送ってください。このメーリングリストは、グループcomp.protocols.kerberosとしてゲートウェイ経由でUsenetに接続されています。文書とコードの可用性を含む詳細内容を希望する場合、 info-kerberos@MIT.EDUまで電子メールで問い合わせてください。

背景

Kerberosモデルは、 TTP(信頼のおける第三者機関)による認証を受けるNeedhamとSchroederのプロトコル [3] と、 DenningとSaccoにより提案された修正 [4] のそれぞれの一部に基づいています。 Kerberos v1 - 4のオリジナルの設計と実装は、 Athenaプロジェクトの以前のスタッフである DEC (Digital Equipment Corporation)のSteve Miller氏とClifford Neuman氏(現在はInformation Sciences Institute of the University of Southern California)、およびAthenaプロジェクトのテクニカルディレクターJerome Saltzer氏、MITのキャンパスネットワークマネージャJeffrey Schiller氏の研究によるものです。また、Kerberosの研究には、 Athenaプロジェクトの他の多くのメンバーも貢献しました。 v4は、公的に使用可能で、インターネット経由で幅広く使用されています。

v5 (本書の説明対象)は、 v4においては利用できなかった現在の要件と将来の要望に基づいてv4を発展させたものです。 Kerberos v4とv5の違いについては [5] において説明しています。

1. はじめに

1.1. レルム横断運用
 1.2. 環境要件
 1.3. 用語集

2. チケットフラグの使用と要求

2.1. 初回チケットおよび事前認証チケット
 2.2. 無効なチケット
 2.3. 再生可能なチケット
 2.4. 以降の日付のチケット
 2.5. プロシキ可能チケットおよびプロキシチケット
 2.6. 転送可能チケット
 2.7. 他の KDC オプション