委托服务的信任

对于某些应用程序，客户机可能需要将授权委托给代其联系其他服务的某个服务器。客户机必须将凭证转发给中间服务器。客户机获取服务器服务票证的功能不会向客户机传递任何有关是否应信任服务器接受委托凭证的信息。kadmin 命令的 ok_to_auth_as_delegate 选项为 KDC 将本地领域策略传递给客户机提供了一种方法，该策略与是否应信任中间服务器接受此凭证有关。

KDC 回复的加密部分中凭证票证标志的副本可能会设置 ok_to_auth_as_delegate 选项，以向客户机表明领域策略已确定票证中指定的服务器是合适的委托接受者。客户机可以使用该信息的存在来确定是否要将凭证委托（通过授予代理或转发 TGT）给该服务器。设置此选项时，管理员必须考虑运行服务的服务器的安全性和位置，以及服务是否要求使用委托凭证。