2.7. Transited Policy Checking (传递策略检查)

在 Kerberos 中, 应用程序服务器最终负责接受或拒绝认证, 并且它应该 (SHOULD) 检查仅依赖适当可信的 KDC 来认证主体。票据中的传递字段标识哪些域 (因此哪些 KDC) 参与了认证过程, 应用程序服务器通常会检查此字段。如果其中任何一个不受信任来认证指示的客户端主体 (可能由基于域的策略确定), 则认证尝试必须 (MUST) 被拒绝。此列表中存在可信 KDC 不提供任何保证; 不受信任的 KDC 可能伪造了列表。

尽管最终服务器最终决定认证是否有效, 但最终服务器域的 KDC 可以 (MAY) 应用特定于域的策略来验证传递字段并接受跨域认证的凭证。当 KDC 应用此类检查并接受此类跨域认证时, 它将在基于跨域 TGT 颁发的服务票据中设置 TRANSITED-POLICY-CHECKED 标志。客户端可以 (MAY) 通过设置 DISABLE-TRANSITED-CHECK 标志来请求 KDC 不检查传递字段。鼓励但不要求 KDC 接受此标志。

应用程序服务器必须 (MUST) 自己进行传递域检查或拒绝未设置 TRANSITED-POLICY-CHECKED 的跨域票据。