Client/Server Exchange

Nachdem ein Benutzer über ein Ticket für einen Server verfügt, kann der Arbeitsstationsclient eine sitzung für sichere Kommunikation mit diesem Server einrichten.

So richten Sie eine sichere Kommunikationssitzung mit einem Server-

1. Der Client sendet dem Server eine Nachricht vom Typ KRB_AP_REQ (Kerberos-Anwendungsanforderung). Diese Nachricht enthält eine Authentifikatornachricht, die mit dem schlüssel verschlüsselt ist, der vom Key Distribution Center (KDC) für die Sitzung mit dem Server, das Ticket für Sitzungen mit dem Server und ein Flag, das angibt, ob der Client die gegenseitige Authentifizierung anfordert. Das Festlegen des Flags, das die gegenseitige Authentifizierung anfordert, ist eine der Optionen zum Konfigurieren Kerberos-. Der Benutzer wird nie gefragt, ob die gegenseitige Authentifizierung verwendet werden soll.
2. Der Server empfängt KRB_AP_REQ, entschlüsselt das Ticket und extrahiert die Autorisierungsdaten des Benutzers und den Sitzungsschlüssel.
3. Der Server verwendet den Sitzungsschlüssel aus dem Ticket, um die Authentifikatornachricht des Benutzers zu entschlüsseln und den Zeitstempel innerhalb zu bewerten.
4. Wenn die Authentifikatornachricht gültig ist, überprüft der Server die gegenseitige Authentifizierungskennzeichnung in der Anforderung des Clients.
5. Wenn das Flag für die gegenseitige Authentifizierung festgelegt ist, verwendet der Server den Sitzungsschlüssel, um die Zeit aus der Authentifikatornachricht des Benutzers zu verschlüsseln und das Ergebnis in einer Nachricht vom Typ KRB_AP_REP (Kerberos-Anwendungsantwort) zurückzugeben.
6. Wenn der Client KRB_AP_REP empfängt, entschlüsselt er die Authentifikatornachricht des Servers mit dem Sitzungsschlüssel, den er für den Server freigibt, und vergleicht die vom Dienst zurückgesendete Zeit mit der Zeit in seiner ursprünglichen Authentifikatornachricht. Wenn sie übereinstimmen, wird dem Client sichergestellt, dass der Dienst echt ist und die Verbindung fortgesetzt wird.