Oturum Biletleri

KDC, şifrelenmiş oturum anahtarlarını her iki sorumluya da göndermek yerine istemciyeoturum anahtarının hem istemcinin hem de sunucunun kopyalarını gönderir. İstemcinin oturum anahtarı kopyası, istemcinin ana anahtarı şifrelenir ve bu nedenle başka bir varlık tarafından şifresi çözülemez. Sunucunun oturum anahtarının kopyası, istemciyle ilgili yetkilendirme verileriyle birlikte bilet adı verilen bir veri yapısına eklenir. Anahtar tamamen sunucunun ana anahtarıyla şifrelenir ve bu nedenle istemci veya sunucunun ana anahtarına erişimi olmayan başka bir varlık tarafından okunamaz veya değiştirilemez. Sunucuyla iletişime geçinceye kadar bileti güvenli bir şekilde depolamak istemcinin sorumluluğundadır.

İstemci KDC'nin yanıtını aldığında, anahtarı ve oturum anahtarının kendi kopyasını ayıklar ve her ikisini de güvenli bir önbelleğe alır. Sunucuyla güvenli bir oturum oluşturmak için sunucuya anahtardan oluşan, sunucunun ana anahtarıyla şifrelenmiş bir ileti ve oturum anahtarıyla şifrelenmiş kimlik doğrulayıcı iletisi gönderir. Anahtar ve kimlik doğrulayıcı iletisi birlikte istemcinin sunucuyakimlik bilgileridir.

Sunucu bir istemciden kimlik bilgilerini aldığında, anahtarın şifresiniana anahtarıyla çözer,oturum anahtarını ayıklar ve istemcinin kimlik doğrulayıcı iletisinin şifresini çözmek için oturum anahtarını kullanır. Her şey doğrulanırsa, sunucu istemcinin kimlik bilgilerinin güvenilen bir yetkili olan KDC tarafından verildiğini bilir. Karşılıklı kimlik doğrulaması için sunucu, oturum anahtarını kullanarak istemcinin kimlik doğrulayıcı iletisindeki zaman damgasını şifreleyerek yanıt verir. Bu şifreli ileti istemciye gönderilir. İstemci daha sonra iletinin şifresini çözer. Döndürülen ileti özgün kimlik doğrulayıcı iletisindeki zaman damgasıyla aynıysa, sunucunun kimliği doğrulanır.

Ek bir avantaj olarak, sunucunun istemcileriyle birlikte kullandığı oturum anahtarlarını depolaması gerekmez. Her istemcinin, anahtar önbelleğinde sunucunun biletini yönetmek ve sunucuya her eriştiğinde bu bileti sunmak her istemcinin sorumluluğundadır. Sunucu bir istemciden bilet aldığında, anahtarın şifresini çözmek ve oturum anahtarını ayıklamak için ana anahtarını kullanır. Sunucunun oturum anahtarına artık ihtiyacı kalmadığında anahtar silinir.

İstemcinin bu sunucuya her erişim istediğinde KDC'ye erişmesi gerekmez. Biletler yeniden kullanılabilir. Bilet hırsızlığı olasılığına karşı önlem olarak, biletlerin bilet yapısında KDC tarafından belirtilen bir son kullanma süresi vardır. Biletin ne kadar süre geçerli olduğu, bölge için Kerberos ilkesine bağlıdır. Genellikle biletler,normal biroturum açma oturumunun uzunluğu kadar sekiz saatten uzun süre kullanılamaz. İstemci iş istasyonundaki kullanıcı oturumu kapattığında, istemci bileti önbelleği temizlenir ve tüm biletler ve istemci oturum anahtarları yok edilir.