Sdílet prostřednictvím

Klient/Server Exchange

  • Článek

Jakmile má uživatel lístek na server, klient pracovní stanice může vytvořit zabezpečenou komunikační relaci s tímto serverem.

Vytvoření zabezpečené komunikační relace se serverovým

  1. Klient odešle serveru zprávu typu KRB_AP_REQ (žádost o aplikaci Kerberos). Tato zpráva obsahuje ověřovací zprávu, která je zašifrovaná klíčem odeslaným službou Key Distribution Center (KDC) pro relaci se serverem, lístkem pro relace se serverem a příznakem, který označuje, jestli klient požaduje vzájemné ověřování. Nastavení příznaku, který požaduje vzájemné ověřování, je jednou z možností konfigurace kerberos. Uživatel se nikdy nezožádí, jestli se má použít vzájemné ověřování.
  2. Server obdrží KRB_AP_REQ, dešifruje lístek a extrahuje autorizační data uživatele a klíč relace .
  3. Server používá klíč relace z lístku k dešifrování ověřovací zprávy uživatele a vyhodnotí časové razítko uvnitř.
  4. Pokud je ověřovací zpráva platná, server zkontroluje příznak vzájemného ověřování v požadavku klienta.
  5. Pokud je nastavený příznak vzájemného ověřování, server pomocí klíče relace zašifruje čas od ověřovací zprávy uživatele a vrátí výsledek zprávy typu KRB_AP_REP (Odpověď aplikace Kerberos).
  6. Když klient obdrží KRB_AP_REP, dešifruje ověřovací zprávu serveru klíčem relace, který sdílí se serverem, a porovná čas odeslaný službou s časem v původní ověřovací zprávě. Pokud se shodují, klient si je jistý, že služba je pravá a připojení pokračuje.