2.5. Proxiable and Proxy Tickets (可代理和代理票据)

有时主体可能需要允许服务代表其执行操作。服务必须能够承担客户端的身份, 但仅用于特定目的。主体可以通过向其授予代理来允许服务这样做。

使用代理和可代理标志授予代理的过程用于提供与特定服务一起使用的凭证。尽管概念上也是代理, 但希望以可用于所有目的的形式委托其身份的用户必须 (MUST) 使用下一节中描述的票据转发机制来转发 TGT。

票据中的 PROXIABLE 标志通常仅由票据授予服务解释。应用程序服务器可以忽略它。当设置时, 此标志告诉票据授予服务器可以基于此票据颁发具有不同网络地址的新票据 (但不是 TGT)。如果客户端在初始认证时请求, 则设置此标志。默认情况下, 客户端将在请求 TGT 时请求设置它, 并在请求任何其他票据时请求重置它。

此标志允许客户端将代理传递给服务器以代表其执行远程请求 (例如, 打印服务客户端可以向打印服务器提供代理以访问特定文件服务器上客户端的文件, 以满足打印请求)。

为了使窃取的凭证的使用复杂化, Kerberos 票据通常仅对票据中特别包含的那些网络地址有效, 但作为策略选项, 允许请求并颁发没有指定网络地址的票据是允许的。在授予代理时, 客户端必须 (MUST) 指定要使用代理的新网络地址或指示代理将被颁发用于从任何地址使用。

当 TGS 颁发代理票据时, 它会在票据中设置 PROXY 标志。应用程序服务器可以 (MAY) 检查此标志; 并且在他们的选择下, 他们可以 (MAY) 要求呈现代理的代理进行额外的认证以提供审计跟踪。