2.5. Proxiable and Proxy Tickets (プロキシ可能およびプロキシチケット)

2.5. Proxiable and Proxy Tickets (プロキシ可能およびプロキシチケット)

時には, プリンシパルがサービスに自分に代わって操作を実行させる必要がある場合があります。サービスはクライアントの身元を引き受けることができなければなりませんが, 特定の目的のためにのみです。プリンシパルは, プロキシを付与することでサービスにこれを行わせることができます。

プロキシおよびプロキシ可能フラグを使用してプロキシを付与するプロセスは, 特定のサービスで使用するためのクレデンシャルを提供するために使用されます。概念的にもプロキシですが, すべての目的に使用可能な形式で身元を委任したいユーザーは, 次のセクションで説明されているチケット転送メカニズムを使用して TGT を転送しなければなりません (MUST)。

チケットの PROXIABLE フラグは, 通常, チケット付与サービスによってのみ解釈されます。アプリケーションサーバーによって無視できます。設定されている場合, このフラグはチケット付与サーバーに, このチケットに基づいて異なるネットワークアドレスを持つ新しいチケット (ただし TGT ではない) を発行してもよいことを伝えます。このフラグは, 初期認証時にクライアントによって要求された場合に設定されます。デフォルトでは, クライアントは TGT を要求する際にそれを設定するように要求し, 他のチケットを要求する際にはリセットするように要求します。

このフラグにより, クライアントはサーバーにプロキシを渡して, 自分に代わってリモート要求を実行させることができます (たとえば, プリントサービスクライアントは, プリント要求を満たすために特定のファイルサーバー上のクライアントのファイルにアクセスするためのプロキシをプリントサーバーに与えることができます)。

盗まれたクレデンシャルの使用を複雑にするために, Kerberos チケットはチケットに特に含まれているネットワークアドレスからのみ有効であることが多いですが, ポリシーオプションとして, ネットワークアドレスが指定されていない要求を許可し, チケットを発行することは許容されます。プロキシを付与する場合, クライアントはプロキシが使用される新しいネットワークアドレスを指定しなければならない (MUST), またはプロキシが任意のアドレスから使用するために発行されることを示さなければなりません。

PROXY フラグは, TGS がプロキシチケットを発行する際にチケットに設定されます。アプリケーションサーバーはこのフラグをチェックする場合があり (MAY), オプションで監査証跡を提供するために, プロキシを提示するエージェントからの追加の認証を要求する場合があります (MAY)。