Passa al contenuto principale

2.4. Postdated Tickets (Ticket Postdatati)

Purpose (Scopo)

Le applicazioni possono occasionalmente aver bisogno di ottenere ticket per un uso molto successivo. Ad esempio, un sistema di sottomissione batch avrebbe bisogno di ticket validi al momento in cui il lavoro batch viene servito.

Problem and Solution (Problema e Soluzione)

The Problem (Il Problema)

È pericoloso mantenere ticket validi in una coda batch, poiché saranno:

  • Online più a lungo
  • Più soggetti a furto

The Solution (La Soluzione)

I ticket postdatati forniscono un modo per:

  • Ottenere ticket dal KDC al momento della sottomissione del lavoro
  • Lasciarli "dormienti" fino all'attivazione e validazione tramite un'ulteriore richiesta al KDC
  • Se il furto del ticket venisse segnalato nel frattempo, il KDC rifiuterebbe di validare il ticket

MAY-POSTDATE Flag (Flag MAY-POSTDATE)

Il flag MAY-POSTDATE in un ticket:

  • È normalmente interpretato solo dal servizio di concessione ticket
  • Può essere ignorato dai server applicativi
  • DEVE essere impostato in un TGT per emettere un ticket postdatato basato sul ticket presentato
  • È reimpostato per impostazione predefinita
  • Un client PUÒ richiederlo impostando l'opzione ALLOW-POSTDATE nel messaggio KRB_AS_REQ

Restrictions (Restrizioni)

  • Questo flag non consente a un client di ottenere un TGT postdatato
  • I TGT postdatati possono essere ottenuti solo richiedendo il postdating nel messaggio KRB_AS_REQ

Lifetime Rules (Regole di Durata)

La vita (endtime-starttime) di un ticket postdatato sarà:

  • La vita rimanente del TGT al momento della richiesta
  • A meno che non sia impostata anche l'opzione RENEWABLE, nel qual caso può essere la vita completa (endtime-starttime) del TGT
  • Il KDC PUÒ limitare quanto in futuro un ticket può essere postdatato

POSTDATED Flag (Flag POSTDATED)

Il flag POSTDATED indica che un ticket è stato postdatato.

Usage by Application Servers (Uso da parte dei Server Applicativi)

  • Il server applicativo può controllare il campo authtime nel ticket per vedere quando si è verificata l'autenticazione originale
  • Alcuni servizi POSSONO scegliere di rifiutare i ticket postdatati
  • Oppure possono accettarli solo entro un certo periodo dopo l'autenticazione originale

Special Behavior (Comportamento Speciale)

Quando il KDC emette un ticket POSTDATED, sarà anche contrassegnato come INVALID, in modo che il client applicativo DEVE presentare il ticket al KDC per essere validato prima dell'uso.

Ultimo aggiornamento il