Kerberos et Windows 2000 [12/12]

• Interopérabilité contestable !

  • Implémentation Kerberos de Microsoft :
    • Compatibilité avec la version 1.1 de MIT Kerberos
    • Compatibilité ni testée ni garantie avec les implémentations DCE et Solaris
  • Utilisation du champ optionnel « Authdata » pour transporter les SIDs (groupes et utilisateurs) non prise en compte dans les implémentation Unix de Kerberos
  • Utilisation du port TCP 88 et non UDP 88 comme décrit dans le RFC 1510
  • Évolutions proposées par Microsoft à l’IETF
    Attention à la synchronisation temporelle (5 minutes) !

Diapositive précédente

Diapositive suivante

Revenir à la première diapositive

Afficher la version graphique

Ports TCP et UDP

Le RFC 1510 précise que Kerberos utilise toujours le port UDP 88. Microsoft utilise le port UDP 88 uniquement pour les messages Kerberos de taille (MTU) inférieure à 1472 octets.

De 1473 à 2000 octets, Microsoft utilise la fragmentation UDP sur le port 88.

Au delà de 2000 octets, Microsoft utilise le port TCP 88. En outre, les messages Kerberos de Microsoft contenant des informations « credential » (SIDs d’utilisateurs et de groupes), ils dépassent majoritairement la taille de 2000 octets et utilisent le port TCP 88.

Microsoft a proposé une révision de la RFC 1510 sur ce sujet.

Remarque : cette modification ne concerne a priori que les échanges entre systèmes Windows 2000. Mais l’interopérabilité avec d’autres Kerberos doit alors être testée.

Évolutions proposées par Microsoft à l’IETF

Kerberos change password protocol
Kerberos set password protocol

RC4-HMAC Kerberos Encryption Type
PKINIT (support des clés asymétriques)