2.6. Forwardable Tickets (可转发票据)

认证转发是代理的一个实例, 其中授予的服务是客户端身份的完全使用。可能使用它的一个示例是当用户登录到远程系统并希望认证从该系统工作时就像登录是本地的一样。

票据中的 FORWARDABLE 标志通常仅由票据授予服务解释。应用程序服务器可以忽略它。FORWARDABLE 标志的解释类似于 PROXIABLE 标志的解释, 除了 TGT 也可以使用不同的网络地址颁发。此标志默认重置, 但用户可以 (MAY) 通过在请求其初始 TGT 时在 AS 请求中设置 FORWARDABLE 选项来请求设置它。

此标志允许认证转发而无需用户再次输入密码。如果未设置标志, 则不允许认证转发, 但如果用户参与 AS 交换, 指定请求的网络地址并提供密码, 仍可以实现相同的结果。

当客户端呈现设置了 FORWARDABLE 标志的票据并通过指定 FORWARDED KDC 选项并为新票据提供一组地址来请求转发票据时, TGS 设置 FORWARDED 标志。它还在基于设置了 FORWARDED 标志的票据颁发的所有票据中设置。应用程序服务器可以选择以不同于非 FORWARDED 票据的方式处理 FORWARDED 票据。

如果无地址票据从一个系统转发到另一个系统, 客户端仍应该 (SHOULD) 使用此选项来获取新的 TGT, 以便在不同系统上具有不同的会话密钥。