İstemci/Sunucu Değişimi

Kullanıcının bir sunucuya bileti olduktan sonra, iş istasyonu istemcisi bu sunucuyla güvenli bir iletişim oturumu oluşturabilir.

Sunucu ile güvenli iletişim oturumu oluşturmak için

1. İstemci sunucuya KRB_AP_REQ (Kerberos Uygulama İsteği) türünde bir ileti gönderir. Bu ileti, sunucu oturumu için Anahtar Dağıtım Merkezi (KDC) tarafından gönderilen anahtarla şifrelenmiş bir kimlik doğrulayıcı iletisi, sunucuyla oturumlar için bilet ve istemcinin karşılıklı kimlik doğrulaması isteyip istemediğini gösteren bir bayrak içerir. Karşılıklı kimlik doğrulaması isteyen bayrağını ayarlamak, kerberosyapılandırma seçeneklerinden biridir. Kullanıcıya hiçbir zaman karşılıklı kimlik doğrulamasının kullanılıp kullanılmayacağı sorulmazdı.
2. Sunucu KRB_AP_REQ alır, anahtarın şifresini çözer ve kullanıcının yetkilendirme verilerini ve oturum anahtarınıayıklar.
3. Sunucu, kullanıcının kimlik doğrulayıcı iletisinin şifresini çözmek için anahtardaki oturum anahtarını kullanır ve içindeki zaman damgasını değerlendirir.
4. Kimlik doğrulayıcı iletisi geçerliyse, sunucu istemcinin isteğinde karşılıklı kimlik doğrulama bayrağını denetler.
5. Karşılıklı kimlik doğrulama bayrağı ayarlanırsa, sunucu kullanıcının kimlik doğrulayıcı iletisindeki süreyi şifrelemek için oturum anahtarını kullanır ve sonucu KRB_AP_REP (Kerberos Uygulama Yanıtı) türünde bir iletiyle döndürür.
6. İstemci KRB_AP_REP aldığında, sunucunun kimlik doğrulayıcı iletisinin şifresini sunucuyla paylaştığı oturum anahtarıyla çözer ve hizmet tarafından geri gönderilen süreyi özgün kimlik doğrulayıcı iletisindeki saatle karşılaştırır. Eşleşirse, istemci hizmetin orijinal olduğundan emin olur ve bağlantı devam eder.