Exchange ověřovací služby

Uživatel se začne k síti přihlašovat zadáním přihlašovacího jména a hesla. Klient Kerberos na pracovní stanici uživatele převede heslo na šifrovací klíč a uloží výsledek do proměnné programu.

Klient pak požádá o přihlašovací údaje pro službu TGS (Ticket-Grant Service) služby Key Distribution Center (KDC) odesláním ověřovací služby KDC zprávu typu KRB_AS_REQ (Žádost o službu ověřování kerberos). První část této zprávy identifikuje uživatele a požadovanou službu TGS. Druhá část této zprávy obsahuje data předběžného ověření, která mají prokázat, že uživatel zná heslo. Toto je jednoduše ověřovací zpráva, která je zašifrovaná pomocí hlavního klíče odvozené od přihlašovacího hesla uživatele.

Když služba KDC obdrží KRB_AS_REQ, vyhledá uživatele ve své databázi, získá přidružený hlavní klíč uživatele, dešifruje data předběžného ověření a vyhodnotí časové razítko uvnitř. Pokud je časové razítko platné, může být KDC jisté, že data předběžného ověření byla zašifrována pomocí hlavního klíče uživatele, a proto je klient pravý.

Jakmile služba KDC ověří identitu uživatele, vytvoří přihlašovací údaje, které může klient předložit službě TGS následujícím způsobem:

1. KDC vymyslí přihlašovací klíč relace a zašifruje kopii pomocí hlavního klíče uživatele.
2. KDC vloží další kopii přihlašovacího klíče relace a autorizační data uživatele do lístku pro udělení lístku (TGT) a zašifruje TGT pomocí vlastního hlavního klíče KDC.
3. Služba KDC odešle tyto přihlašovací údaje zpět klientovi tím, že odpoví zprávou typu KRB_AS_REP (Odpověď ověřovací služby Kerberos).
4. Když klient obdrží odpověď, použije klíč odvozený z hesla uživatele k dešifrování nového klíče relace přihlášení.
5. Klient uloží nový klíč do mezipaměti lístku.
6. Klient extrahuje TGT ze zprávy a uloží ho také do mezipaměti lístku.