2. Ticket Flag Uses and Requests (Verwendung und Anforderung von Ticket-Flags)

2. Ticket Flag Uses and Requests (Verwendung und Anforderung von Ticket-Flags)

Jedes Kerberos-Ticket enthält eine Menge von Flags, die Attribute dieses Tickets kennzeichnen. Die meisten Flags kann ein Client bei der Ticketbeschaffung anfordern; einige schaltet der Kerberos-Server nach Bedarf automatisch ein oder aus. Die folgenden Abschnitte erläutern die Bedeutung der einzelnen Flags und nennen Beispiele für deren Einsatz.

Allgemeine Anforderungen

• Mit Ausnahme des INVALID-Flags MÜSSEN Clients Ticket-Flags ignorieren, die ihnen nicht bekannt sind
• KDCs MÜSSEN KDC-Optionen ignorieren, die ihnen nicht bekannt sind
• Einige Implementierungen von RFC 1510 lehnen unbekannte KDC-Optionen ab
• Clients müssen ggf. eine Anfrage ohne neue KDC-Optionen erneut senden, wenn die Anfrage abgelehnt wurde
• Clients MÜSSEN bestätigen, dass das vom KDC zurückgegebene Ticket ihren Anforderungen entspricht

Designüberlegungen

Im Allgemeinen ist nicht feststellbar, ob eine Option deshalb nicht berücksichtigt wurde, weil sie nicht verstanden wurde oder weil sie per Konfiguration oder Richtlinie abgelehnt wurde. Beim Hinzufügen einer neuen Option zum Kerberos-Protokoll sollten die Designer prüfen, ob diese Unterscheidung für ihre Option wichtig ist. Wenn ja, ist in der Spezifikation der Option ein Mechanismus vorzusehen, mit dem das KDC anzeigen kann, dass die Option verstanden, aber abgelehnt wurde.

Verwandte Abschnitte

• 2.1. Initial, Pre-authenticated, and Hardware-Authenticated Tickets
• 2.2. Invalid Tickets
• 2.3. Renewable Tickets
• 2.4. Postdated Tickets
• 2.5. Proxiable and Proxy Tickets
• 2.6. Forwardable Tickets
• 2.7. Transited Policy Checking
• 2.8. OK as Delegate
• 2.9. Other KDC Options