2.5. Tickets proxiables et proxy
2.5. Tickets proxiables et proxy
Parfois, il peut être nécessaire pour un principal de permettre à un service d'effectuer une opération en son nom. Le service doit être capable d'assumer l'identité du client, mais uniquement dans un but particulier. Un principal peut permettre à un service de faire cela en lui accordant un proxy.
Le processus d'octroi d'un proxy en utilisant les drapeaux proxy et proxiable est utilisé pour fournir des credentials à utiliser avec des services spécifiques. Bien que conceptuellement également un proxy, les utilisateurs souhaitant déléguer leur identité sous une forme utilisable à toutes fins DOIVENT utiliser le mécanisme de transfert de ticket décrit dans la section suivante pour transférer un TGT.
Le drapeau PROXIABLE dans un ticket est normalement uniquement interprété par le service d'octroi de tickets. Il peut être ignoré par les serveurs d'application. Lorsqu'il est défini, ce drapeau indique au serveur d'octroi de tickets qu'il est acceptable d'émettre un nouveau ticket (mais pas un TGT) avec une adresse réseau différente basée sur ce ticket. Ce drapeau est défini s'il est demandé par le client lors de l'authentification initiale. Par défaut, le client demandera qu'il soit défini lors de la demande d'un TGT, et qu'il soit réinitialisé lors de la demande de tout autre ticket.
Ce drapeau permet à un client de passer un proxy à un serveur pour effectuer une demande distante en son nom (par exemple, un client de service d'impression peut donner au serveur d'impression un proxy pour accéder aux fichiers du client sur un serveur de fichiers particulier afin de satisfaire une demande d'impression).
Afin de compliquer l'utilisation de credentials volés, les tickets Kerberos ne sont souvent valides que depuis les adresses réseau spécifiquement incluses dans le ticket, mais il est permis en tant qu'option de politique d'autoriser les demandes et d'émettre des tickets sans adresses réseau spécifiées. Lors de l'octroi d'un proxy, le client DOIT spécifier la nouvelle adresse réseau à partir de laquelle le proxy doit être utilisé ou indiquer que le proxy doit être émis pour utilisation depuis n'importe quelle adresse.
Le drapeau PROXY est défini dans un ticket par le TGS lorsqu'il émet un ticket proxy. Les serveurs d'application PEUVENT vérifier ce drapeau; et à leur choix, ils PEUVENT exiger une authentification supplémentaire de l'agent présentant le proxy afin de fournir une piste d'audit.