次の方法で共有

クライアント/サーバー Exchange

  • [アーティクル]

ユーザーがサーバーへのチケットを持った後、ワークステーション クライアントは、そのサーバーとのセキュリティで保護された通信セッションを確立できます。

サーバー とのセキュリティで保護された通信セッションを確立するには

  1. クライアントは、KRB_AP_REQ (Kerberos アプリケーション要求) の種類のメッセージをサーバーに送信します。 このメッセージには、サーバーとのセッションの キー配布センター (KDC) によって送信されたキーで暗号化された認証メッセージ、サーバーとのセッションのチケット、およびクライアントが相互認証を要求するかどうかを示すフラグが含まれています。 相互認証を要求するフラグの設定は、Kerberos構成するオプションの 1 つです。 ユーザーは、相互認証を使用するかどうかを尋ねられることはありません。
  2. サーバーは、KRB_AP_REQを受信し、チケットを復号化し、ユーザーの承認データと セッション キー抽出します。
  3. サーバーは、チケットのセッション キーを使用してユーザーの認証メッセージの暗号化を解除し、内部のタイム スタンプを評価します。
  4. 認証子メッセージが有効な場合、サーバーはクライアントの要求で相互認証フラグを確認します。
  5. 相互認証フラグが設定されている場合、サーバーはセッション キーを使用してユーザーの認証メッセージから時刻を暗号化し、結果として KRB_AP_REP (Kerberos アプリケーション応答) 型のメッセージを返します。
  6. クライアントは、KRB_AP_REPを受信すると、サーバーと共有するセッション キーを使用してサーバーの認証メッセージを復号化し、サービスによって返された時間と、元の認証メッセージの時刻を比較します。 一致する場合、クライアントはサービスが本物であることが保証され、接続が続行されます。