Tabla de contenido
Los certificados utilizados en PKINIT para IPCable2Home se especifican en la sección PKI de esta
Recomendación. En esta Recomendación se propone un certificado para el elemento PS (certificado
del elemento PS) para aquellos casos en que IPCablecom especifica un certificado de dispositivo
MTA, y las implementaciones de los elementos PS DEBEN incluir el certificado del elemento PS.
Las siguientes cláusulas de la funcionalidad de Kerberos según la Rec. UIT-T J.170 no son
aplicables a esta Recomendación:
•
Cláusula 6.4.8.4, Preautenticador para ubicación del servidor de aprovisionamiento.
•
Cláusula 6.4.7, Nombres de principal de MTA.
•
Cláusula 6.4.8, Correspondencia de dirección MAC de MTA con FQDN de MTA.
•
Cláusula 6.4.10, Versión de claves de servicio.
•
Cláusula 6.4.11, Operación a través de sectores Kerberos.
•
Cláusula 6.5.4, Mensajes clave rehecha.
•
Cláusula 6.5.6, IPSec basada en Kerberos.
•
Cláusula 6.4.6, Ubicaciones de servidores Kerberos y convenios de denominación.
11.3.1.2 Variables de autenticación específicas de IPCable2Home
Las especificaciones del modelo IPCablecom establecen ciertos nombres de variables específicos
para Kerberos en la arquitectura de red IPCablecom. A fin de que esta Recomendación pueda
utilizar el modelo IPCablecom, DEBEN modificarse los siguientes nombres de variables:
•
Sustituir pktcKdcToMtaMaxClockSkew definido en la Especificación de seguridad
IPCablecom por KdcToClientMaxClockSkew.
•
Sustituir pktcSrvrToMtaMaxClockSkew definido en la Especificación de seguridad
IPCablecom por SrvrToClientMaxClockSkew.
•
Sustituir mtaprovsrvr definido en la Especificación de seguridad IPCablecom por provsrvr.
Las implementaciones de Kerberos de IPCable2Home DEBEN ignorar la porción de campo del
identificador de objeto (OID), que introduce el valor de clabProjIPCablecom (2) en
AppSpecificTypedData en los mensajes KRB-ERROR.
11.3.1.3 Perfil de IPCable2Home para las ubicaciones de servidores Kerberos y convenios de
denominación
Los nombres de sector Kerberos PUEDEN utilizar la misma sintaxis de un nombre de dominio, no
obstante, los sectores Kerberos DEBEN indicarse únicamente en letras mayúsculas. DEBEN
seguirse los detalles del sector Kerberos conformes al anexo B/J.170.
Los convenios de KDC enumerados en 6.4.5.2/J.170 se considerarán informativos en la presente
Recomendación a fin de que el KDC pueda desempeñar las funciones administrativas necesarias
para intercambiar la información pertinente con el NMS (servidor de configuración o gestor
SNMP). El elemento PS suministra al KDC la dirección IP del servidor de configuración en la
petición AS como información indispensable para establecer el contacto adecuado entre el KDC y
el servidor de configuración.
Un nombre principal del elemento PS DEBE ser del tipo NT-SRV-INST exactamente con dos
componentes: el primero DEBE ser la cadena "PSElement" (sin incluir las comillas) y el segundo
DEBE ser la dirección WAN-Man-MAC:
PSElement/<WAN-Man-MAC>
siendo <WAN-Man-MAC> la dirección MAC de gestión de la WAN del elemento PS. El formato
<WAN-Man-MAC> DEBE ser "XX:XX:XX:XX:XX:XX" (sin incluir las comillas) donde X es un
122
Rec. UIT-T J.191 (03/2004)
Tabla de contenido
