Generic Security Services Application Program Interface (GSS-API)メカニズムはRFC-1964によって定義され、インターネット標準プロセスの下に、RFC4121で補足されています。

Kerberos V5メカニズムのOID

RFC 1964のセクション1に従い、Kerberos5のJava Generic Security Services (Java GSS)のOIDは1.2.840.113554.1.2.2と定義されます。Javaセキュリティ標準アルゴリズム名のGSSAPIメカニズムも参照してください。

Java GSS/Kerberosでサポートされる暗号化タイプ

次の表に、Java GSS/Kerberosでサポートされる暗号化タイプの優先順位を示します。

ユーザーは様々な目的で、krb5.confの[libdefaults]セクションで暗号化の使用を制限できます。

サポートされるkrb5.conf設定

次のパラメータがサポートされています。

include FILENAME
includedir DIRNAME

[libdefaults]
allow_weak_crypto
ap_req_checksum_type
clockskew
default_checksum
default_keytab_name
default_realm
default_tgs_enctypes
default_tkt_enctypes
dns_fallback
dns_lookup_kdc
dns_lookup_realm
extra_addresses
forwardable
kdc_default_options
kdc_timeout
max_retries
no_addresses
noaddresses
permitted_enctypes
proxiable
renew_lifetime
renewable
safe_checksum_type
ticket_lifetime
udp_preference_limit
 
[realms]
  REALM.NAME = {
      kdc
      kdc_timeout
      udp_preference_limit
      max_retries
  }
 
[capaths]
  A = {
    I = .
    B = I
  }
 
[domain_realm]
  domain=REALM

次は、krb5.confファイル・パラメータのデフォルト値です:

allow_weak_crypto = false
clockskew = 300
dns_lookup_kdc = true
dns_lookup_realm = false
forwardable = false
kdc_timeout = 30s
max_retries = 3
no_addresses = true
noaddresses = true
proxiable = false
renewable = false
udp_preference_limit = 1465

krb5.confファイルが見つからないか、krb5.confファイルに設定が存在しない場合は、これらのデフォルト値が使用されます。たとえば、dns_lookup_kdcのデフォルト値はtrueであるため、KDCの詳細をフェッチするためにDNSルックアップが実行されます。