2.6. Forwardable Tickets (Ticket Inoltrabili)

Panoramica

L'inoltro dell'autenticazione è un'istanza di un proxy in cui il servizio concesso è l'uso completo dell'identità del client. Un esempio è quando un utente effettua il login a un sistema remoto e desidera che l'autenticazione funzioni da quel sistema come se il login fosse locale.

Flag FORWARDABLE

Il flag FORWARDABLE in un ticket:

È normalmente interpretato solo dal servizio di concessione ticket
Può essere ignorato dai server applicativi
Ha un'interpretazione simile al flag PROXIABLE, tranne che i TGT possono anche essere emessi con indirizzi di rete diversi
È resettato per impostazione predefinita
Gli utenti POSSONO richiedere che sia impostato impostando l'opzione FORWARDABLE nella richiesta AS quando richiedono il TGT iniziale

Benefici

Consente l'inoltro dell'autenticazione senza richiedere all'utente di inserire nuovamente una password
Se il flag non è impostato, l'inoltro dell'autenticazione non è consentito
Lo stesso risultato può comunque essere ottenuto se l'utente si impegna nello scambio AS, specifica gli indirizzi di rete richiesti e fornisce una password

Flag FORWARDED

Il flag FORWARDED:

È impostato dal TGS quando il client presenta un ticket con il flag FORWARDABLE impostato
Richiede al client di richiedere un ticket inoltrato specificando l'opzione KDC FORWARDED
Il client deve fornire un insieme di indirizzi per il nuovo ticket
È anche impostato in tutti i ticket emessi sulla base di ticket con il flag FORWARDED impostato
I server applicativi possono scegliere di elaborare i ticket FORWARDED in modo diverso rispetto ai ticket non-FORWARDED

Best Practice per i Ticket Senza Indirizzo

Se i ticket senza indirizzo vengono inoltrati da un sistema a un altro, i client DOVREBBERO comunque utilizzare questa opzione per ottenere un nuovo TGT in modo da avere chiavi di sessione diverse sui diversi sistemi.

Riferimento

Per i dettagli tecnici completi, fare riferimento a RFC 4120 Sezione 2.6.