2.8. OK en tant que délégué

Vue d'ensemble

Pour certaines applications, un client peut avoir besoin de déléguer l'autorité à un serveur pour agir en son nom lors du contact avec d'autres services. Cela nécessite que le client transfère les credentials à un serveur intermédiaire.

Le problème

La capacité pour un client d'obtenir un ticket de service pour un serveur ne transmet aucune information au client sur la question de savoir si le serveur devrait être approuvé pour accepter des credentials délégués.

La solution

Le drapeau OK-AS-DELEGATE fournit un moyen pour un KDC de communiquer la politique de domaine local à un client concernant la question de savoir si un serveur intermédiaire est approuvé pour accepter de tels credentials.

Comment cela fonctionne

La copie des drapeaux de ticket dans la partie chiffrée de la réponse KDC peut avoir le drapeau OK-AS-DELEGATE défini pour indiquer au client que:

Le serveur spécifié dans le ticket a été déterminé par la politique du domaine comme étant un destinataire approprié de délégation
Le client peut utiliser la présence de ce drapeau pour aider à décider s'il faut déléguer les credentials (accorder soit un proxy soit un TGT transféré) à ce serveur
Il est acceptable d'ignorer la valeur de ce drapeau

Considérations pour l'administrateur

Lors de la définition de ce drapeau, un administrateur devrait considérer:

La sécurité et l'emplacement du serveur sur lequel le service s'exécutera
Si le service nécessite l'utilisation de credentials délégués