2. Ticket Flag Uses and Requests (Usi e Richieste dei Flag dei Ticket)

2. Ticket Flag Uses and Requests (Usi e Richieste dei Flag dei Ticket)

Ogni ticket Kerberos contiene un insieme di flag che vengono utilizzati per indicare gli attributi di quel ticket. La maggior parte dei flag può essere richiesta da un client quando viene ottenuto il ticket, alcuni vengono automaticamente attivati e disattivati da un server Kerberos secondo necessità. Le seguenti sezioni spiegano cosa significano i vari flag e forniscono esempi di motivi per utilizzarli. Ad eccezione del flag INVALID, i client DEVONO ignorare i flag dei ticket che non sono riconosciuti. I KDC DEVONO ignorare le opzioni KDC che non sono riconosciute. È noto che alcune implementazioni di RFC 1510 rifiutano opzioni KDC sconosciute, quindi i client potrebbero dover reinviare una richiesta senza le nuove opzioni KDC se la richiesta è stata rifiutata quando inviata con opzioni aggiunte dopo RFC 1510. Poiché i nuovi KDC ignoreranno le opzioni sconosciute, i client DEVONO confermare che il ticket restituito dal KDC soddisfi le loro esigenze.

Si noti che non è, in generale, possibile determinare se un'opzione non è stata onorata perché non è stata compresa o perché è stata rifiutata attraverso la configurazione o la policy. Quando si aggiunge una nuova opzione al protocollo Kerberos, i progettisti dovrebbero considerare se la distinzione è importante per la loro opzione. Se lo è, deve essere fornito nella specifica dell'opzione un meccanismo per il KDC per restituire un'indicazione che l'opzione è stata compresa ma rifiutata. Spesso in tali casi, il meccanismo deve essere sufficientemente ampio da permettere la restituzione di un errore o una ragione.