2. Ticket Flag Uses and Requests (票据标志使用和请求)

每个 Kerberos 票据都包含一组标志, 用于指示该票据的属性。大多数标志可以由客户端在获取票据时请求; 一些标志由 Kerberos 服务器根据需要自动打开和关闭。以下各节解释了各种标志的含义并给出了使用它们的原因示例。除了 INVALID 标志之外, 客户端必须 (MUST) 忽略未识别的票据标志。KDC 必须 (MUST) 忽略未识别的 KDC 选项。已知某些 RFC 1510 实现会拒绝未知的 KDC 选项, 因此如果请求在使用自 RFC 1510 以来添加的选项发送时被拒绝, 客户端可能需要在不使用新 KDC 选项的情况下重新发送请求。因为新的 KDC 将忽略未知选项, 客户端必须 (MUST) 确认 KDC 返回的票据满足其需求。

请注意, 通常无法确定选项是因为未被理解还是因为通过配置或策略被拒绝而未被接受。在向 Kerberos 协议添加新选项时, 设计者应考虑这种区分对其选项是否重要。如果重要, 则需要在选项规范中提供一种机制, 让 KDC 返回指示该选项已被理解但被拒绝的指示。通常在这种情况下, 机制需要足够广泛以允许返回错误或原因。