2. Ticket Flag Uses and Requests (チケットフラグの使用と要求)
2. Ticket Flag Uses and Requests (チケットフラグの使用と要求)
各 Kerberos チケットには, そのチケットの属性を示すために用いられるフラグの集合が含まれる。ほとんどのフラグは, チケット取得時にクライアントが要求できる。一部は, Kerberos サーバーが必要に応じて自動的にオンまたはオフにする。以下の各節では, 各フラグの意味と, それらを用いる理由の例を説明する。
一般要件
- INVALID フラグを除き, クライアントは認識できないチケットフラグを無視しなければならない (MUST)
- KDC は認識できない KDC オプションを無視しなければならない (MUST)
- RFC 1510 の一部実装は, 未知の KDC オプションを拒否することが知られている
- 要求が拒否された場合, クライアントは新しい KDC オプションなしで要求を再送する必要があるかもしれない
- クライアントは, KDC が返したチケットが自分の要件を満たすことを確認しなければならない (MUST)
設計上の考慮
一般に, あるオプションが理解されなかったために尊重されなかったのか, 構成またはポリシーにより拒否されたのかを判別することはできないことに注意すること。Kerberos プロトコルに新しいオプションを追加する設計者は, その区別が自らのオプションにとって重要かどうかを検討すべきである。重要である場合, KDC がオプションは理解されたが拒否されたことを示す手段を, 当該オプションの仕様において提供する必要がある。
関連節
- 2.1. Initial, Pre-authenticated, and Hardware-Authenticated Tickets (初期, 事前認証, ハードウェア認証チケット)
- 2.2. Invalid Tickets (無効なチケット)
- 2.3. Renewable Tickets (更新可能チケット)
- 2.4. Postdated Tickets (ポストデートチケット)
- 2.5. Proxiable and Proxy Tickets (プロキシ可能およびプロキシチケット)
- 2.6. Forwardable Tickets (転送可能チケット)
- 2.7. Transited Policy Checking (通過ポリシー検査)
- 2.8. OK as Delegate (委任としての OK)
- 2.9. Other KDC Options (その他の KDC オプション)