2.8. OK as Delegate (委托确认)

对于某些应用程序, 客户端可能需要将权限委托给服务器以代表其联系其他服务。这需要客户端将凭证转发到中间服务器。客户端获取服务器的服务票据的能力不向客户端传递有关服务器是否应该被信任接受委托凭证的任何信息。OK-AS-DELEGATE 提供了一种 KDC 向客户端传达有关中间服务器是否被信任接受此类凭证的本地域策略的方法。

KDC 回复的加密部分中的票据标志副本可以设置 OK-AS-DELEGATE 标志, 以向客户端指示票据中指定的服务器已被域的策略确定为委托的合适接收者。客户端可以使用此标志的存在来帮助其决定是否将凭证 (授予代理或转发 TGT) 委托给此服务器。忽略此标志的值是可接受的。在设置此标志时, 管理员应考虑将运行服务的服务器的安全性和位置, 以及服务是否需要使用委托凭证。