2. Ticket Flag Uses and Requests (票据标志使用和请求)

每个 Kerberos 票据都包含一组用于指示该票据属性的标志。大多数标志可以在获得票据时由客户端请求; 一些标志由 Kerberos 服务器根据需要自动打开和关闭。以下各节解释了各种标志的含义, 并给出了使用它们的原因示例。除 INVALID 标志外, 客户端必须 (MUST) 忽略无法识别的票据标志。KDC 必须 (MUST) 忽略无法识别的 KDC 选项。已知某些 RFC 1510 的实现会拒绝未知的 KDC 选项, 因此如果请求在使用自 RFC 1510 以来添加的选项发送时被拒绝, 客户端可能需要在没有新 KDC 选项的情况下重新发送请求。因为新的 KDC 将忽略未知选项, 客户端必须 (MUST) 确认 KDC 返回的票据满足其需求。

请注意, 通常无法确定选项是因为不被理解而未被遵守, 还是因为通过配置或策略被拒绝。在向 Kerberos 协议添加新选项时, 设计人员应考虑这种区别对其选项是否重要。如果重要, 则需要在选项的规范中提供 KDC 返回选项被理解但被拒绝的指示的机制。在这种情况下, 机制通常需要足够宽泛以允许返回错误或原因。

2. Ticket Flag Uses and Requests (票据标志使用和请求)​

子章节​

2. Ticket Flag Uses and Requests (票据标志使用和请求)

子章节