43 Abstract
45    This document describes an extensibility mechanism for the Kerberos
46    v5 protocol when used over TCP transports.
116 1.  Introduction
118    The Kerberos 5 [3] specification, in section 7.2.2, reserve the high
119    order bit in the initial length field for TCP transport for future
120    expansion.  This document update [3] to describe the behaviour when
121    that bit is set.  This mechanism is intended for extensions that are
122    specific for the TCP transport.
125 2.  Conventions used in this document
127    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
128    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
129    document are to be interpreted as described in RFC 2119 [1].
132 3.  Extension Mechanism for TCP transport
134    The reserved high bit of the request length field is used to signal
135    the use of this extension mechanism.  When the reserved high bit is
136    set, the remaining 31 bits of the initial 4 octets are interpreted as
137    a bitmap.  Each bit in the bitmask can be used to request a
138    particular extension.  The 31 bits form the "extension bitmask".  It
139    is expected that other documents will describe the details associated
140    with particular bits.
142    A 4-octet value with only the high bit set, and thus the extension
143    bitmask all zeros, is called a PROBE.  A client may send a probe to
144    find out which extensions a KDC support.  A client may also set
145    particular bits in the extension bitmask directly, if it does not
146    need to query the KDC for available extensions before deciding which
147    extension to request.
149    If a KDC receive a PROBE, or if a KDC does not support all extensions
150    corresponding to set bits in the extension bitmask, the KDC MUST
151    return 4 octets with the high bit set, and with the remaining bitmask
152    indicate which extensions it supports.  The KDC SHOULD NOT close the
153    connection, and SHOULD wait for the client to then send a second
154    4-octet value, with the high bit set and the remaining bits as the
155    bitmask, to request a particular extension.  If the second 4-octet
156    value is a PROBE or an unsupported extension, the KDC MUST close the
157    connection.  This is used by the client to shutdown a session when
158    the KDC did not support a, by the client, required extension.
160    Resource avaibility considerations may influence whether, and for how
161    long, the KDC will wait for the client to send requests.
163    The behaviour when more than one non-high bit is set depends on the
172    particular extension mechanisms.  If a requested extension (bit X)
173    does not specify how it interact with another requested extensions
174    (bit Y), the KDC MUST treat the request as a PROBE or unsupported
175    extension, and proceed as above.
177    Each extension MUST describe the structure of protocol data beyond
178    the length field, and the behaviour of the client and KDC.  If an
179    extension mechanism reserve multiple bits, it MUST describe how they
180    interact.
183 4.  Interoperability Consideration
185    Implementations with support for TCP that do not claim to conform to
186    RFC 4120 may not handle the high bit correctly.  Behaviour may
187    include closing the TCP connection without any response, and logging
188    an error message in the KDC log.  When this was written, this problem
189    existed in modern versions of popular implementations.
190    Implementations experiencing trouble getting the expected responses
191    from a server SHOULD assume that it does not support this extension
192    mechanism.  Clients MAY remember this semi-permanently, to avoid
193    excessive logging in the server.  Care should be taken to avoid
194    unexpected behaviour for the user when the KDC is eventually
195    upgraded.  Implementations MAY also provide a way to enable and
196    disable this extension on a per-realm basis.  How to handle these
197    backwards compatibility quirks are in general left unspecified.
200 5.  Security Considerations
202    Because the initial length field is not protected, it is possible for
203    an active attacker (i.e., one that is able to modify traffic between
204    the client and the KDC) to make it appear to the client that the
205    server does not support this extension mechanism.  Client and KDC
206    policies can be used to reject connections that does not use any
207    expansion.
210 6.  IANA Considerations
212    IANA needs to create a new registry for "Kerberos 5 TCP Extensions".
213    The initial contents of this registry should be:
215    [[RFC Editor: Replace xxxx below with the number of this RFC.]]
217    Bit #         Meaning                             Reference
218    -----         -------                             ---------
219    0..29         AVAILABLE for registration.
228    30            RESERVED.                           RFC XXXX
230    IANA will register values 0 to 29 after IESG Approval, as defined in
231    BCP 64 [2].  Assigning value 30 requires a Standards Action that
232    update or obsolete this document.
235 7.  Acknowledgements
237    Thanks to Andrew Bartlett who pointed out that some implementations
238    (MIT Kerberos and Heimdal) did not follow RFC 4120 properly with
239    regards to the high bit, which resulted in an Interoperability
240    Consideration.
242    Nicolas Williams and Jeffrey Hutzelman provided comments that
243    improved the document.
245 8.  Normative References
247    [1]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
248         Levels", BCP 14, RFC 2119, March 1997.
250    [2]  Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA
251         Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
253    [3]  Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos
254         Network Authentication Service (V5)", RFC 4120, July 2005.
