Munkamenet-jegyek

A titkosított munkamenetkulcsok mindkét tagnak való elküldése helyett a KDC az ügyfél és a kiszolgáló munkamenetkulcsának másolatait is elküldi az ügyfélnek. A munkamenetkulcs ügyfélpéldánya titkosítva van az ügyfél főkulcsával, ezért más entitás nem tudja visszafejteni. A kiszolgáló munkamenetkulcsának másolata az ügyfél engedélyezési adataival együtt egy jegy nevű adatstruktúrába van beágyazva. A jegy teljes mértékben titkosítva van a kiszolgáló főkulccsal, ezért az ügyfél vagy bármely más entitás nem tudja olvasni vagy módosítani, amely nem rendelkezik hozzáféréssel a kiszolgáló főkulcsához. Az ügyfél felelőssége, hogy a jegyet biztonságosan tárolja a kiszolgálóval való kapcsolatfelvételig.

Amikor az ügyfél megkapja a KDC válaszát, kinyeri a jegyet és a munkamenetkulcs saját példányát, és mindkettőt egy biztonságos gyorsítótárba helyezi. Ha biztonságos munkamenetet szeretne létrehozni a kiszolgálóval, a kiszolgáló egy üzenetet küld a kiszolgálónak a jegyből, amely továbbra is titkosítva van a kiszolgáló főkulcsával, valamint egy hitelesítő üzenetet, a munkamenet-kulccsal titkosítva. A jegy és a hitelesítő üzenet együttesen az ügyfél hitelesítő adatait a kiszolgálóhoz.

Amikor a kiszolgáló hitelesítő adatokat kap egy ügyféltől, visszafejti a jegyet a főkulcsával, kinyeri a munkamenetkulcsot, és a munkamenet-kulccsal visszafejti az ügyfél hitelesítő üzenetét. Ha minden kiderül, a kiszolgáló tudja, hogy az ügyfél hitelesítő adatait egy megbízható szolgáltató, a KDC adta ki. A kölcsönös hitelesítéshez a kiszolgáló úgy válaszol, hogy a munkamenet-kulccsal titkosítja az ügyfél hitelesítő üzenetéből származó időbélyeget. Ezt a titkosított üzenetet a rendszer elküldi az ügyfélnek. Az ügyfél ezután visszafejti az üzenetet. Ha a visszaadott üzenet megegyezik az eredeti hitelesítő üzenet időbélyegével, a kiszolgáló hitelesítve lesz.

További előny, hogy a kiszolgálónak nem kell tárolnia az ügyfelekkel használt munkamenetkulcsokat. Minden ügyfél felelőssége, hogy kezelje a kiszolgáló jegyét a jegygyorsítótárban, és hogy minden alkalommal bemutassa a jegyet, amikor hozzáfér a kiszolgálóhoz. Amikor a kiszolgáló kap egy jegyet egy ügyféltől, a főkulcsával fejti vissza a jegyet, és kinyeri a munkamenetkulcsot. Ha a kiszolgálónak már nincs szüksége a munkamenetkulcsra, a kulcs törlődik.

Az ügyfélnek nem kell minden alkalommal hozzáférnie a KDC-hez, amikor hozzá szeretne férni ehhez az adott kiszolgálóhoz. A jegyek újra felhasználhatók. A jegylopás lehetősége ellen elővigyázatosságból a jegyek lejárati ideje van, amelyet a KDC határoz meg a jegyszerkezetben. A jegy érvényességi ideje a tartomány Kerberos-szabályzatától függ. A jegyek általában nem hosszabbak, mint nyolc óra, körülbelül egy normál bejelentkezési munkamenet. Amikor egy ügyfél-munkaállomás felhasználója kijelentkezik, a rendszer kiüríti az ügyféljegy-gyorsítótárat, és minden jegy és ügyfél-munkamenetkulcs megsemmisül.