2.2.3 - Bilhete
Um bilhete, também conhecido pelo nome inglês token, é algo que o cliente apresenta ao servidor de aplicação para demonstrar autenticidade de sua identidade. Bilhetes são distribuídos pelo servidor de autenticação e são criptografados utilizando a chave secreta do serviço a que são destinados. Uma vez que essa chave é um segredo compartilhado somente entre o servidor de autenticação e o servidor provedor do serviço, nem mesmo o cliente que o solicitou pode saber a seu respeito ou alterar seu conteúdo. A informação contida num bilhete inclui:
- o principal do usuário solicitante (geralmente nome do usuário);
- o principal do serviço a que se destina o bilhete;
- o endereço IP da máquina cliente da qual o bilhete pode ser usado. Em Kerberos 5, esse campo é opcional e pode ser mais de um, a fim de suportar clientes sob NAT (do inglês Network Address Translation);
- o momento (data e hora em formato timestamp) em que a validade do bilhete tem início;
- o tempo máximo de vida do bilhete;
- a chave de sessão.
Cada bilhete expira em um certo tempo, geralmente em torno de 10h. Isso é essencial tendo-se em vista que o servidor de autenticação não tem qualquer controle sobre um bilhete já emitido. Mesmo o administrador do domínio podendo prevenir a emissão de novos bilhetes para um determinado usuário em qualquer momento, ele não pode impedir usuários de usarem bilhetes que já possuem. Essa é a razão para limitar o tempo de vida de bilhetes, a fim de limitar abusos pelo tempo.
Bilhetes contêm muitas outras informações e flags que caracterizam seu comportamento, além do escopo deste trabalho.