Pertukaran Layanan Autentikasi

Pengguna mulai masuk ke jaringan dengan mengetikkan nama masuk dan kata sandi. Klien Kerberos di stasiun kerja pengguna mengonversi kata sandi menjadi kunci enkripsi dan menyimpan hasilnya dalam variabel program.

Klien kemudian meminta kredensial untuk layanan pemberian tiket (TGS) Key Distribution Center (KDC) dengan mengirim layanan autentikasi KDC pesan jenis KRB_AS_REQ (Permintaan Layanan Autentikasi Kerberos). Bagian pertama dari pesan ini mengidentifikasi pengguna dan layanan TGS yang diminta. Bagian kedua dari pesan ini berisi data pra-autentikasi yang dimaksudkan untuk membuktikan bahwa pengguna mengetahui kata sandi. Ini hanyalah pesan pengautentikasi yang dienkripsi dengan kunci master berasal dari kata sandi masuk pengguna.

Ketika KDC menerima KRB_AS_REQ, KDC mencari pengguna dalam databasenya, mendapatkan kunci master pengguna terkait, mendekripsi data praauthentication, dan mengevaluasi stempel waktu di dalamnya. Jika stempel waktu valid, KDC dapat diyakinkan bahwa data pra-autentikasi dienkripsi dengan kunci master pengguna dan dengan demikian klien asli.

Setelah KDC memverifikasi identitas pengguna, KDC membuat kredensial yang dapat disajikan klien ke TGS, sebagai berikut:

1. KDC menciptakan kunci sesi masuk dan mengenkripsi salinan dengan kunci master pengguna.
2. KDC menyematkan salinan lain dari kunci sesi masuk dan data otorisasi pengguna dalam tiket pemberian tiket (TGT), dan mengenkripsi TGT dengan kunci master KDC sendiri.
3. KDC mengirimkan kredensial ini kembali ke klien dengan membalas dengan pesan jenis KRB_AS_REP (Balasan Layanan Autentikasi Kerberos).
4. Ketika klien menerima balasan, klien menggunakan kunci yang berasal dari kata sandi pengguna untuk mendekripsi kunci sesi masuk baru.
5. Klien menyimpan kunci baru dalam cache tiketnya.
6. Klien mengekstrak TGT dari pesan dan menyimpannya dalam cache tiketnya juga.