Passa al contenuto principale

5.5. Client/Server (CS) Message Specifications (Specifiche dei Messaggi Client/Server - CS)

5.5. Client/Server (CS) Message Specifications (Specifiche dei Messaggi Client/Server - CS)

Questa sezione specifica il formato dei messaggi utilizzati per l'autenticazione del client al server applicativo.

5.5.1. Definizione di KRB_AP_REQ

Il messaggio KRB_AP_REQ contiene il numero di versione del protocollo Kerberos, il tipo di messaggio KRB_AP_REQ, un campo options per indicare eventuali opzioni in uso, e il ticket e l'authenticator stessi. Il messaggio KRB_AP_REQ è spesso definito "authentication header".

   AP-REQ          ::= [APPLICATION 14] SEQUENCE {
           pvno            [0] INTEGER (5),
           msg-type        [1] INTEGER (14),
           ap-options      [2] APOptions,
           ticket          [3] Ticket,
           authenticator   [4] EncryptedData -- Authenticator
   }
   APOptions       ::= KerberosFlags
           -- reserved(0),
           -- use-session-key(1),
           -- mutual-required(2)

pvno e msg-type: Questi campi sono descritti sopra nella Sezione 5.4.1. msg-type è KRB_AP_REQ.

ap-options: Questo campo appare nella richiesta applicativa (KRB_AP_REQ) e influisce sul modo in cui viene elaborata la richiesta. È un campo a bit, dove le opzioni selezionate sono indicate dal bit impostato (1), e le opzioni non selezionate e i campi riservati dal reset (0). La codifica dei bit è specificata nella Sezione 5.2.

ticket: Questo campo è un ticket che autentica il client al server.

authenticator: Contiene l'authenticator crittografato, che include la scelta del client di una subkey.

L'authenticator crittografato è incluso nell'AP-REQ; certifica a un server che il mittente ha conoscenza recente della chiave di crittografia nel ticket accompagnante, per aiutare il server a rilevare i replay. Assiste anche nella selezione di una "chiave di sessione vera" da utilizzare con la sessione particolare.

5.5.2. Definizione di KRB_AP_REP

Il messaggio KRB_AP_REP contiene il numero di versione del protocollo Kerberos, il tipo di messaggio e un timestamp crittografato. Il messaggio viene inviato in risposta a una richiesta applicativa (KRB_AP_REQ) per la quale è stata selezionata l'opzione di autenticazione reciproca nel campo ap-options.

   AP-REP          ::= [APPLICATION 15] SEQUENCE {
           pvno            [0] INTEGER (5),
           msg-type        [1] INTEGER (15),
           enc-part        [2] EncryptedData -- EncAPRepPart
   }

5.5.3. Risposta del Messaggio di Errore

Se si verifica un errore durante l'elaborazione della richiesta applicativa, verrà inviato il messaggio KRB_ERROR in risposta. Vedere Sezione 5.9.1 per il formato del messaggio di errore. I campi cname e crealm POSSONO essere omessi se il server non può determinare i loro valori appropriati dal corrispondente messaggio KRB_AP_REQ. Se l'authenticator era decifrabile, i campi ctime e cusec conterranno i valori da esso.

Ultimo aggiornamento il