2.5. Proxiable and Proxy Tickets (可代理票据和代理票据)

2.5. Proxiable and Proxy Tickets (可代理票据和代理票据)

有时主体可能需要允许服务代表其执行操作。服务必须能够承担客户端的身份, 但仅用于特定目的。主体可以通过授予服务代理来允许服务这样做。

使用代理和可代理标志授予代理的过程用于提供与特定服务一起使用的凭证。尽管在概念上也是代理, 但希望以可用于所有目的的形式委托其身份的用户必须 (MUST) 使用下一节中描述的票据转发机制来转发 TGT。

票据中的 PROXIABLE 标志通常仅由票据授予服务解释。应用服务器可以忽略它。设置后, 此标志告诉票据授予服务器可以基于此票据颁发具有不同网络地址的新票据 (但不是 TGT)。如果客户端在初始认证时请求, 则设置此标志。默认情况下, 客户端将请求在请求 TGT 时设置它, 并在请求任何其他票据时重置它。

此标志允许客户端将代理传递给服务器以代表其执行远程请求 (例如, 打印服务客户端可以向打印服务器提供代理以访问特定文件服务器上的客户端文件, 以满足打印请求)。

为了使被盗凭证的使用复杂化, Kerberos 票据通常仅对票据中明确包含的那些网络地址有效, 但作为策略选项允许请求并颁发不指定网络地址的票据是允许的。授予代理时, 客户端必须 (MUST) 指定要使用代理的新网络地址, 或指示代理将被颁发以从任何地址使用。

当 TGS 颁发代理票据时, 在票据中设置 PROXY 标志。应用服务器可以 (MAY) 检查此标志; 并且根据其选项, 它们可以 (MAY) 要求提交代理的代理进行额外的认证以提供审计跟踪。