2.3.5 - Solicitação de Aplicação (AP_REQ)
O cliente, tendo as credenciais de acesso ao serviço (o bilhete e chave de sessão associada), pode pedir acesso a recursos ao servidor de aplicação por uma mensagem AP_REQ. Deve-se ter em mente que, diferentemente das mensagens anteriores, onde o KDC estava envolvido, a AP_REQ não é padronizada, e varia dependendo da aplicação. Assim, o programador da aplicação tem o trabalho de estabelecer a estratégia com a qual o cliente usará suas credenciais para provar sua identidade ao servidor. Contudo, pode-se considerar a seguinte estratégia como exemplo:
- o cliente cria um autenticador contendo o principal do usuário e momento e criptografa tudo com a chave de sessão SKSERVIÇO que compartilha com o servidor de aplicação:
- ele cria um pacote de solicitação contendo o bilhete de serviço TSERVIÇO criptografado com sua chave secreta e o autenticador criado. Em síntese:
Quando a solicitação chega, o servidor de aplicação abre o bilhete com a chave secreta do serviço solicitado e extrai a chave de sessão SKSERVIÇO a qual usa para descriptografar o autenticador. Para estabelecer que o usuário solicitante é autêntico e conceder acesso ao serviço, o servidor verifica as seguintes condições:
- o bilhete não expirou;
- o PrincipalCLIENTE presente no autenticador corresponde ao presente no bilhete;
- o autenticador não está presente no cache de reprodução e não expirou;
- se lista_IPs (extraída do bilhete) não é nula, ele verifica se o endereço IP de origem do pacote de solicitação (AP_REQ) é um dos contidos na lista;
Esta estratégia é similar à usada pelo servidor de concessão de bilhetes para verificar a autenticidade do usuário solicitante de bilhete de serviço.
Próximo: 2.3.6 - Pré-Autenticação
Anterior: 2.3.4 - Resposta do Servidor de Concessão de Bilhetes (TGS_REP)