Para algunas aplicaciones, es posible que un cliente necesite delegar autoridad a un servidor para que actúe en su nombre para ponerse en contacto con otros servicios. El cliente debe reenviar las credenciales a un servidor intermedio. La capacidad del cliente de obtener un ticket de servicio para un servidor no transmite ninguna información al cliente sobre si se puede confiar en el servidor para aceptar credenciales delegadas. La opción –ok_to_auth_as_delegate para el comando kadmin proporciona una manera de que un KDC comunique la política de dominio local a un cliente con respecto a si un servidor intermedio es de confianza para aceptar dichas credenciales.
La parte cifrada de la respuesta de KDC para el cliente puede incluir una copia de indicadores de tickets de credenciales con el conjunto de opciones –ok_to_auth_as_delegate. Un cliente puede utilizar esta configuración para determinar si delegar credenciales (concediendo un proxy o TGT reenviado) a este servidor. Al definir esta opción, considere la seguridad y la ubicación del servidor en que se ejecuta el servicio, así como si el servicio requiere el uso de credenciales delegadas.