2.5. Proxiable and Proxy Tickets (Ticket Proxiable e Proxy)
2.5. Proxiable and Proxy Tickets (Ticket Proxiable e Proxy)
A volte può essere necessario per un principal consentire a un servizio di eseguire un'operazione per suo conto. Il servizio deve essere in grado di assumere l'identità del client, ma solo per uno scopo particolare. Un principal può consentire a un servizio di farlo concedendogli un proxy.
Il processo di concessione di un proxy utilizzando i flag proxy e proxiable viene utilizzato per fornire credenziali da utilizzare con servizi specifici. Sebbene concettualmente anche un proxy, gli utenti che desiderano delegare la propria identità in una forma utilizzabile per tutti gli scopi DEVONO utilizzare il meccanismo di inoltro ticket descritto nella sezione successiva per inoltrare un TGT.
Il flag PROXIABLE in un ticket è normalmente interpretato solo dal servizio di concessione ticket. Può essere ignorato dai server applicativi. Quando impostato, questo flag indica al server di concessione ticket che è OK emettere un nuovo ticket (ma non un TGT) con un indirizzo di rete diverso basato su questo ticket. Questo flag viene impostato se richiesto dal client all'autenticazione iniziale. Per impostazione predefinita, il client richiederà che venga impostato quando richiede un TGT, e che venga reimpostato quando richiede qualsiasi altro ticket.
Questo flag consente a un client di passare un proxy a un server per eseguire una richiesta remota per suo conto (ad esempio, un client del servizio di stampa può dare al server di stampa un proxy per accedere ai file del client su un particolare file server per soddisfare una richiesta di stampa).
Per complicare l'uso di credenziali rubate, i ticket Kerberos sono spesso validi solo da quegli indirizzi di rete specificamente inclusi nel ticket, ma è ammissibile come opzione di policy consentire richieste e emettere ticket senza indirizzi di rete specificati. Quando si concede un proxy, il client DEVE specificare il nuovo indirizzo di rete da cui il proxy deve essere utilizzato o indicare che il proxy deve essere emesso per l'uso da qualsiasi indirizzo.
Il flag PROXY viene impostato in un ticket dal TGS quando emette un ticket proxy. I server applicativi POSSONO controllare questo flag, e a loro opzione POSSONO richiedere un'autenticazione aggiuntiva dall'agente che presenta il proxy per fornire una traccia di audit.