2.4. Postdated Tickets (Postdatierte Tickets)
2.4. Postdated Tickets (Postdatierte Tickets)
Anwendungen können gelegentlich Tickets für eine viel spätere Verwendung benötigen; z.B. würde ein Batch-Submission-System Tickets benötigen, die zum Zeitpunkt der Bearbeitung des Batch-Jobs gültig sind. Es ist jedoch gefährlich, gültige Tickets in einer Batch-Warteschlange zu halten, da sie länger online sein werden und anfälliger für Diebstahl sind. Postdatierte Tickets bieten eine Möglichkeit, diese Tickets zum Zeitpunkt der Job-Einreichung vom KDC zu erhalten, sie aber "ruhend" zu lassen, bis sie durch eine weitere Anfrage an den KDC aktiviert und validiert werden. Wenn in der Zwischenzeit ein Ticket-Diebstahl gemeldet würde, würde der KDC die Validierung des Tickets ablehnen, und der Dieb würde vereitelt.
Das MAY-POSTDATE-Flag in einem Ticket wird normalerweise nur vom Ticket-Granting Service interpretiert. Es kann von Anwendungsservern ignoriert werden. Dieses Flag MUSS in einem TGT gesetzt sein, um ein postdatiertes Ticket basierend auf dem präsentierten Ticket auszustellen. Es wird standardmäßig zurückgesetzt; ein Client KANN es anfordern, indem er die ALLOW-POSTDATE-Option in der KRB_AS_REQ-Nachricht setzt. Dieses Flag erlaubt es einem Client nicht, ein postdatiertes TGT zu erhalten; postdatierte TGTs können nur durch Anforderung der Postdatierung in der KRB_AS_REQ-Nachricht erhalten werden. Die Lebensdauer (endtime-starttime) eines postdatierten Tickets wird die verbleibende Lebensdauer des TGT zum Zeitpunkt der Anfrage sein, es sei denn, die RENEWABLE-Option ist ebenfalls gesetzt, in diesem Fall kann es die volle Lebensdauer (endtime-starttime) des TGT sein. Der KDC KANN begrenzen, wie weit in der Zukunft ein Ticket postdatiert werden kann.
Das POSTDATED-Flag zeigt an, dass ein Ticket postdatiert wurde. Der Anwendungsserver kann das Feld authtime im Ticket überprüfen, um zu sehen, wann die ursprüngliche Authentifizierung stattfand. Einige Dienste KÖNNEN postdatierte Tickets ablehnen oder sie nur innerhalb eines bestimmten Zeitraums nach der ursprünglichen Authentifizierung akzeptieren. Wenn der KDC ein POSTDATED-Ticket ausstellt, wird es auch als INVALID markiert, so dass der Anwendungsclient das Ticket dem KDC zur Validierung vor der Verwendung präsentieren MUSS.