2.5. Proxiable and Proxy Tickets (プロキシ可能およびプロキシチケット)
2.5. Proxiable and Proxy Tickets (プロキシ可能およびプロキシチケット)
概要
時には, プリンシパルがサービスに対し, 自分に代わって操作を実行させる必要がある。サービスはクライアントの身元を引き受けることができなければならないが, 特定の目的のためにのみである。
PROXIABLE フラグ
チケット内の PROXIABLE フラグは次のとおりです。
- 通常, チケット付与サービス (ticket-granting service) によってのみ解釈される
- アプリケーションサーバーによって無視してよい
- 設定されている場合, TGS に対し, 異なるネットワークアドレスを持つ新しいチケット (ただし TGT ではない) を発行してよいことを伝える
- 初期認証時にクライアントが要求した場合に設定される
- デフォルトでは, クライアントは TGT 要求時に設定を要求し, それ以外のチケット要求時にはリセットを要求する
ユースケース例
プリントサービスのクライアントは, プリント要求を満たすために, 特定のファイルサーバー上のクライアントのファイルにアクセスする権限をプリントサーバーに与えるプロキシを渡すことができる。
ネットワークアドレスに関する考慮
- Kerberos チケットは, チケットに明示的に含まれるネットワークアドレスからのみ有効であることが多い
- ポリシーオプションにより, ネットワークアドレスが指定されていないチケットを許可できる
- プロキシを付与する際, クライアントは新しいネットワークアドレスを指定しなければならない (MUST), またはプロキシが任意のアドレスからの使用向けに発行されることを示さなければならない (MUST)
PROXY フラグ
PROXY フラグは, TGS がプロキシチケットを発行する際にチケットに設定される。アプリケーションサーバーは次のとおりとする。
- このフラグをチェックしてもよい (MAY)
- 監査証跡のために, プロキシを提示するエージェントに対し追加認証を要求してもよい (MAY)
参照
完全な技術的詳細については, RFC 4120 Section 2.5 を参照すること。