Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Depois que um usuário tem um tíquete para um servidor, o cliente da estação de trabalho pode estabelecer uma sessão de comunicação segura com esse servidor.
Para estabelecer uma sessão de comunicações segura com um servidor
- O cliente envia ao servidor uma mensagem do tipo KRB_AP_REQ (Solicitação de Aplicativo Kerberos). Esta mensagem contém uma mensagem autenticadora que é criptografada com a chave enviada pelo Key Distribution Center (KDC) para a sessão com o servidor, o tíquete para sessões com o servidor e um sinalizador que indica se o cliente solicita autenticação mútua. Definir o sinalizador que solicita autenticação mútua é uma das opções na configuração do Kerberos. O usuário nunca é perguntado se a autenticação mútua deve ser usada.
- O servidor recebe KRB_AP_REQ, descriptografa o tíquete e extrai os dados de autorização do usuário e a chave de sessão .
- O servidor usa a chave de sessão do tíquete para descriptografar a mensagem do autenticador do usuário e avalia o carimbo de data/hora dentro.
- Se a mensagem do autenticador for válida, o servidor verificará o sinalizador de autenticação mútua na solicitação do cliente.
- Se o sinalizador de autenticação mútua estiver definido, o servidor usará a chave de sessão para criptografar a hora da mensagem do autenticador do usuário e retornará o resultado em uma mensagem do tipo KRB_AP_REP (Kerberos Application Reply).
- Quando o cliente recebe KRB_AP_REP, ele descriptografa a mensagem do autenticador do servidor com a chave de sessão que compartilha com o servidor e compara o tempo enviado de volta pelo serviço com o tempo em sua mensagem autenticadora original. Se corresponderem, o cliente tem a certeza de que o serviço é genuíno e a ligação prossegue.