Ügyfél-/kiszolgálói Exchange

Miután a felhasználó jegyet kapott egy kiszolgálóra, a munkaállomás-ügyfél biztonságos kommunikációs munkamenetet hozhat létre a kiszolgálóval.

Biztonságos kommunikációs munkamenet létrehozása kiszolgálói

1. Az ügyfél KRB_AP_REQ típusú üzenetet küld a kiszolgálónak (Kerberos-alkalmazáskérés). Ez az üzenet egy hitelesítő üzenetet tartalmaz, amelyet a Key Distribution Center (KDC) által küldött kulccsal titkosít a kiszolgálóval folytatott munkamenethez, a kiszolgálóval folytatott munkamenetek jegyét, valamint egy jelzőt, amely jelzi, hogy az ügyfél kölcsönös hitelesítést kér-e. A kölcsönös hitelesítést kérő jelző beállítása Kerberoskonfigurálásának egyik lehetősége. A rendszer soha nem kérdezi meg a felhasználót, hogy érdemes-e kölcsönös hitelesítést használni.
2. A kiszolgáló megkapja a KRB_AP_REQ, visszafejti a jegyet, és kinyeri a felhasználó engedélyezési adatait és a munkamenetkulcsot.
3. A kiszolgáló a jegy munkamenetkulcsával fejti vissza a felhasználó hitelesítő üzenetét, és kiértékeli a benne lévő időbélyeget.
4. Ha a hitelesítő üzenet érvényes, a kiszolgáló ellenőrzi a kölcsönös hitelesítési jelzőt az ügyfél kérésében.
5. Ha a kölcsönös hitelesítési jelző be van állítva, a kiszolgáló a munkamenet-kulccsal titkosítja a felhasználó hitelesítő üzenetéből származó időt, és az eredményt egy KRB_AP_REP típusú üzenetben adja vissza (Kerberos Application Reply).
6. Amikor az ügyfél KRB_AP_REP kap, visszafejti a kiszolgáló hitelesítő üzenetét a kiszolgálóval megosztott munkamenet-kulccsal, és összehasonlítja a szolgáltatás által az eredeti hitelesítő üzenetben visszaadott időt. Ha megegyeznek, az ügyfél meggyőződik arról, hogy a szolgáltatás eredeti, és a kapcsolat folytatódik.