一部のアプリケーションでは、クライアントが、ほかのサービスへの接続時にそれに代わって動作するサーバーに権限を委託することが必要な場合があります。そのクライアントは、中間サーバーに資格を転送する必要があります。サーバーへのサービスチケットを取得するクライアントの機能では、委任された資格の受け入れについてサーバーを信頼できるかどうかに関する情報がクライアントに伝達されません。kadmin コマンドの –ok_to_auth_as_delegate オプションは、中間サーバーにそのような資格の受け入れを信頼して任せられるかどうかに関するローカルレルムポリシーを KDC からクライアントに送る方法を提供します。
クライアントへの KDC 応答の暗号化された部分には、–ok_to_auth_as_delegate オプションが設定された資格チケットフラグのコピーを含めることができます。クライアントは、この設定を使用して、このサーバーに (プロキシまたは転送された TGT のどちらかを付与することによって) 資格を委任するかどうかを判定できます。このオプションを設定する場合は、そのサービスで委任された資格の使用が必要かどうかだけでなく、そのサービスが実行されるサーバーのセキュリティーや配置についても考慮してください。