2.6. Tickets transférables

Vue d'ensemble

Le transfert d'authentification est une instance d'un proxy où le service accordé est l'utilisation complète de l'identité du client. Un exemple est lorsqu'un utilisateur se connecte à un système distant et souhaite que l'authentification fonctionne depuis ce système comme si la connexion était locale.

Drapeau FORWARDABLE

Le drapeau FORWARDABLE dans un ticket:

Est normalement uniquement interprété par le service d'octroi de tickets
Peut être ignoré par les serveurs d'application
A une interprétation similaire au drapeau PROXIABLE, sauf que les TGT peuvent également être émis avec des adresses réseau différentes
Est réinitialisé par défaut
Les utilisateurs PEUVENT demander qu'il soit défini en définissant l'option FORWARDABLE dans la demande AS lors de la demande du TGT initial

Avantages

Permet le transfert d'authentification sans exiger que l'utilisateur entre à nouveau un mot de passe
Si le drapeau n'est pas défini, le transfert d'authentification n'est pas permis
Le même résultat peut toujours être obtenu si l'utilisateur s'engage dans un échange AS, spécifie les adresses réseau demandées et fournit un mot de passe

Drapeau FORWARDED

Le drapeau FORWARDED:

Est défini par le TGS lorsque le client présente un ticket avec le drapeau FORWARDABLE défini
Exige que le client demande un ticket transféré en spécifiant l'option KDC FORWARDED
Le client doit fournir un ensemble d'adresses pour le nouveau ticket
Est également défini dans tous les tickets émis sur la base de tickets avec le drapeau FORWARDED défini
Les serveurs d'application peuvent choisir de traiter les tickets FORWARDED différemment des tickets non-FORWARDED

Bonne pratique pour les tickets sans adresse

Si des tickets sans adresse sont transférés d'un système à un autre, les clients DEVRAIENT toujours utiliser cette option pour obtenir un nouveau TGT afin d'avoir des clés de session différentes sur les différents systèmes.