2.3 - O funcionamento do sistema Kerberos
Esta seção lista e descreve cada um dos pacotes que trafegam entre o cliente e o KDC e entre cliente e servidor de aplicação durante a autenticação. É importante frisar que um servidor de aplicação nunca se comunica diretamente com o KDC: os bilhetes de serviço, mesmo elaborados pelo TGS, chegam ao serviço somente através do cliente que deseja acessá-lo. A seguir, uma breve descrição de mensagens discutidas adiante.
- AS_REQ: é a solicitação de autenticação inicial. Essa mensagem é direcionada ao servidor de autenticação do KDC;
- AS_REP: é a resposta do servidor de autenticação à solicitação anterior. Contém:
1) TGT (criptografado utilizando a chave secreta do TGS);
2) chave de sessão (criptografado utilizando a chave secreta do usuário solicitante);
- TGS_REQ: é a solicitação do cliente ao servidor de concessão de bilhetes (TGS) para um bilhete de serviço. Contém:
1) TGT obtido da mensagem anterior;
2) autenticador gerado pelo cliente e criptografado com a chave de sessão;
- TGS_REP: é a resposta do servidor de concessão de bilhetes à solicitação anterior. Contém:
1) bilhete de solicitação de serviço (criptografado com a chave secreta do serviço);
2) chave de sessão gerada pelo TGS e criptografado usando a chave de sessão anterior gerada pelo AS;
- AP_REQ: é a solicitação que o cliente envia a um servidor de aplicação para acessar um serviço. Contém:
1) bilhete de serviço obtido do TGS com a resposta anterior;
2) autenticador novamente gerado pelo cliente, mas desta vez criptografado utilizando a chave de sessão (gerada pelo TGS);
- AP_REP: é a resposta que um servidor de aplicação dá ao cliente para provar que ele realmente é o servidor que o cliente espera. Este pacote nem sempre é solicitado. O cliente solicita isso ao servidor somente quando é necessário autenticação mútua.