2.3.1 - Solicitação de Autenticação (AS_REQ)
Nesta fase, conhecida como solicitação de autenticação inicial, o cliente pede ao KDC (mais especificamente ao AS) pelo bilhete de concessão. Esta solicitação é não-criptografada e se assemelha ao seguinte:
onde: PrincipalCLIENTE é o principal associado ao usuário em busca de autenticação (ex: michel@ARCHLINUX.ORG); PrincipalSERVIÇO é o principal associado ao serviço pelo qual o bilhete é procurado e, por assim dizer, é a seguinte sequência: "generico/DOMÍNIO@DOMÍNIO"; lista_IPs é uma lista de endereços IP que indicam o computador permitido a usar o bilhete que será emitido; tempo_de_vida é o tempo máximo de validade para o bilhete a ser emitido.
Parece desnecessário PrincipalSERVIÇO na autenticação inicial uma vez que isso seria definido no principal do TGS (ex: generico/DOMÍNIO@DOMÍNIO). Contudo, este não é o caso; um usuário interessado em usar apenas 1 serviço durante uma sessão de trabalho, não usaria subscrição única, e pode pedir ao AS diretamente pelo bilhete por este serviço, assim ignorando subsequente requisição ao TGS.
A lista_IPs pode ser nula. Neste caso, o bilhete correspondente pode ser usado por qualquer máquina. Isso resolve o problema de clientes sob NAT, uma vez que suas solicitações chegariam ao serviço com um endereço de origem diferente do usuário solicitante, e sim com o endereço do roteador. Como alternativa, no caso de máquinas com mais de um controlador de rede, a lista_IPs deve conter os endereços IP de todas as placas de rede: seria difícil prever de antemão com que conexão o servidor fornecedor do serviço seria contatado.
Próximo: 2.3.2 - Resposta do Servidor de Autenticação (AS_REP)