2.8. OK as Delegate (OK als Delegat)
2.8. OK as Delegate (OK als Delegat)
Für einige Anwendungen kann ein Client die Befugnis an einen Server delegieren müssen, in seinem Namen beim Kontaktieren anderer Dienste zu handeln. Dies erfordert, dass der Client Credentials an einen Zwischenserver weiterleitet. Die Fähigkeit für einen Client, ein Service-Ticket für einen Server zu erhalten, vermittelt dem Client keine Information darüber, ob dem Server vertraut werden sollte, delegierte Credentials zu akzeptieren. Das OK-AS-DELEGATE bietet eine Möglichkeit für einen KDC, lokale Realm-Richtlinien an einen Client zu kommunizieren, ob einem Zwischenserver vertraut werden sollte, solche Credentials zu akzeptieren.
Die Kopie der Ticket-Flags im verschlüsselten Teil der KDC-Antwort kann das Flag OK-AS-DELEGATE gesetzt haben, um dem Client anzuzeigen, dass der im Ticket angegebene Server durch die Richtlinie des Realms als geeigneter Empfänger der Delegation bestimmt wurde. Ein Client kann die Anwesenheit dieses Flags verwenden, um ihm bei der Entscheidung zu helfen, ob er Credentials an diesen Server delegieren soll (entweder einen Proxy oder ein weitergeleitetes TGT gewähren). Es ist akzeptabel, den Wert dieses Flags zu ignorieren. Beim Setzen dieses Flags sollte ein Administrator die Sicherheit und Platzierung des Servers berücksichtigen, auf dem der Dienst laufen wird, sowie ob der Dienst die Verwendung delegierter Credentials erfordert.