对于某些应用程序,客户机可能需要将授权委托给代其联系其他服务的某个服务器。客户机必须将凭证转发给中间服务器。客户机获取服务器服务票证的功能不会向客户机传递是否可以信任服务器接受委托凭证的信息。kadmin 命令的 –ok_to_auth_as_delegate 选项为 KDC 将本地领域策略传递给客户机提供了一种方法,该策略与是否应信任中间服务器接受此凭证有关。
如果设置了 –ok_to_auth_as_delegate 选项,客户机 KDC 回复中的加密部分可以包含凭证票证标志的副本。客户机可以使用该设置来确定是否将凭证委托(通过授予代理或转发 TGT)给该服务器。设置该选项时,应考虑运行服务的服务器的安全性和位置,以及服务是否要求使用委托凭证。