Client/Serveur Exchange

Une fois qu’un utilisateur a un ticket vers un serveur, le client de station de travail peut établir une session de communication sécurisée avec ce serveur.

Pour établir une session de communication sécurisée avec un serveur

1. Le client envoie au serveur un message de type KRB_AP_REQ (demande d’application Kerberos). Ce message contient un message d’authentificateur chiffré avec la clé envoyée par le centre de distribution de clés(KDC)pour la session avec le serveur, le ticket pour les sessions avec le serveur et un indicateur qui indique si le client demande l’authentification mutuelle. La définition de l’indicateur qui demande l’authentification mutuelle est l’une des options de configuration Kerberos. L’utilisateur n’est jamais invité à déterminer si l’authentification mutuelle doit être utilisée.
2. Le serveur reçoit KRB_AP_REQ, déchiffre le ticket et extrait les données d’autorisation de l’utilisateur et la clé de session .
3. Le serveur utilise la clé de session du ticket pour déchiffrer le message d’authentificateur de l’utilisateur et évalue l’horodatage à l’intérieur.
4. Si le message d’authentificateur est valide, le serveur vérifie l’indicateur d’authentification mutuelle dans la demande du client.
5. Si l’indicateur d’authentification mutuelle est défini, le serveur utilise la clé de session pour chiffrer l’heure à partir du message d’authentificateur de l’utilisateur et retourne le résultat dans un message de type KRB_AP_REP (Réponse d’application Kerberos).
6. Lorsque le client reçoit KRB_AP_REP, il déchiffre le message d’authentificateur du serveur avec la clé de session qu’il partage avec le serveur et compare l’heure renvoyée par le service avec l’heure dans son message d’authentificateur d’origine. S’ils correspondent, le client est assuré que le service est authentique et que la connexion se poursuit.