33.3. Indicadores de autenticação Kerberos
O Kerberos Key Distribution Center (KDC) anexa authentication indicators a um ticket de concessão de bilhetes (TGT) com base no qual o mecanismo de pré-autenticação utilizado pelo cliente comprova sua identidade:
otp
- autenticação de dois fatores (senha One-Time Password)
radius
- Autenticação RADIUS (comumente para autenticação 802.1x)
pkinit
- PKINIT, cartão inteligente, ou autenticação de certificado
hardened
- senhas endurecidas (SPAKE ou FAST)[1]
O KDC então anexa os indicadores de autenticação do TGT a qualquer pedido de tíquetes de serviço que dele resulte. O KDC aplica políticas tais como controle de acesso a serviços, duração máxima do bilhete e idade máxima renovável com base nos indicadores de autenticação.
33.3.1. Indicadores de autenticação e serviços IdM
Se você associar um serviço ou um host com um indicador de autenticação, somente os clientes que utilizaram o mecanismo de autenticação correspondente para obter um TGT poderão acessá-lo. O KDC, não o aplicativo ou serviço, verifica os indicadores de autenticação nos pedidos de bilhetes de serviço, e concede ou nega pedidos com base nas políticas de conexão Kerberos.
Por exemplo, para exigir autenticação de dois fatores para conectar ao host secure.example.com
, associar o indicador de autenticação otp
ao principal host/secure.example.com@EXAMPLE.COM
Kerberos. Somente usuários que utilizaram uma senha One-Time para obter seu TGT inicial do KDC poderão fazer o login.
Se um serviço ou um host não tiver indicadores de autenticação atribuídos a ele, ele aceitará bilhetes autenticados por qualquer mecanismo.
Recursos adicionais
- Para associar um serviço IdM com indicadores de autenticação, consulte Aplicando indicadores de autenticação para um serviço IdM.