2.5. Proxiable and Proxy Tickets (Proxy-fähige und Proxy-Tickets)
2.5. Proxiable and Proxy Tickets (Proxy-fähige und Proxy-Tickets)
Manchmal kann es notwendig sein, dass ein Principal einem Dienst erlaubt, eine Operation in seinem Namen durchzuführen. Der Dienst muss in der Lage sein, die Identität des Clients anzunehmen, aber nur für einen bestimmten Zweck. Ein Principal kann einem Dienst dies ermöglichen, indem er ihm einen Proxy gewährt.
Der Prozess der Gewährung eines Proxys unter Verwendung der Proxy- und Proxiable-Flags wird verwendet, um Credentials für die Verwendung mit spezifischen Diensten bereitzustellen. Obwohl konzeptionell auch ein Proxy, MÜSSEN Benutzer, die ihre Identität in einer für alle Zwecke verwendbaren Form delegieren möchten, den im nächsten Abschnitt beschriebenen Ticket-Forwarding-Mechanismus verwenden, um ein TGT weiterzuleiten.
Das PROXIABLE-Flag in einem Ticket wird normalerweise nur vom Ticket-Granting Service interpretiert. Es kann von Anwendungsservern ignoriert werden. Wenn gesetzt, teilt dieses Flag dem Ticket-Granting Server mit, dass es in Ordnung ist, ein neues Ticket (aber kein TGT) mit einer anderen Netzwerkadresse basierend auf diesem Ticket auszustellen. Dieses Flag wird gesetzt, wenn es vom Client bei der anfänglichen Authentifizierung angefordert wird. Standardmäßig wird der Client anfordern, dass es gesetzt wird, wenn er ein TGT anfordert, und dass es zurückgesetzt wird, wenn er ein anderes Ticket anfordert.
Dieses Flag erlaubt es einem Client, einem Server einen Proxy zu übergeben, um eine Remote-Anfrage in seinem Namen durchzuführen (z.B. kann ein Druckdienst-Client dem Druckserver einen Proxy geben, um auf die Dateien des Clients auf einem bestimmten Dateiserver zuzugreifen, um eine Druckanfrage zu erfüllen).
Um die Verwendung gestohlener Credentials zu erschweren, sind Kerberos-Tickets oft nur von den Netzwerkadressen gültig, die speziell im Ticket enthalten sind, aber es ist als Richtlinienoption zulässig, Anfragen zuzulassen und Tickets ohne angegebene Netzwerkadressen auszustellen. Bei der Gewährung eines Proxys MUSS der Client die neue Netzwerkadresse angeben, von der aus der Proxy verwendet werden soll, oder anzeigen, dass der Proxy zur Verwendung von jeder Adresse aus ausgestellt werden soll.
Das PROXY-Flag wird in einem Ticket vom TGS gesetzt, wenn er ein Proxy-Ticket ausstellt. Anwendungsserver KÖNNEN dieses Flag überprüfen; und nach ihrer Wahl KÖNNEN sie zusätzliche Authentifizierung vom Agenten verlangen, der den Proxy präsentiert, um einen Prüfpfad bereitzustellen.