2.8. OK as Delegate (OK come Delegato)

Panoramica

Per alcune applicazioni, un client potrebbe aver bisogno di delegare l'autorità a un server per agire per suo conto nel contattare altri servizi. Ciò richiede che il client inoltri le credenziali a un server intermedio.

Il Problema

La capacità per un client di ottenere un ticket di servizio a un server non trasmette alcuna informazione al client su se il server dovrebbe essere fidato per accettare credenziali delegate.

La Soluzione

Il flag OK-AS-DELEGATE fornisce un modo per un KDC di comunicare la policy del realm locale a un client riguardo se un server intermedio è fidato per accettare tali credenziali.

Come Funziona

La copia dei flag del ticket nella parte crittografata della risposta KDC può avere il flag OK-AS-DELEGATE impostato per indicare al client che:

Il server specificato nel ticket è stato determinato dalla policy del realm essere un destinatario adatto della delega
Il client può utilizzare la presenza di questo flag per aiutare a decidere se delegare le credenziali (concedere un proxy o un TGT inoltrato) a questo server
È accettabile ignorare il valore di questo flag

Considerazioni per l'Amministratore

Quando si imposta questo flag, un amministratore dovrebbe considerare:

La sicurezza e il posizionamento del server su cui il servizio verrà eseguito
Se il servizio richiede l'uso di credenziali delegate

Riferimento

Per i dettagli tecnici completi, fare riferimento a RFC 4120 Sezione 2.8.