客户端/服务器 Exchange

用户获得服务器票证后，工作站客户端可以与该服务器建立安全通信会话。

与服务器建立安全通信会话

1. 客户端向服务器发送KRB_AP_REQ类型的消息（Kerberos 应用程序请求）。 此消息包含与服务器会话的 密钥分发中心（KDC）发送的密钥加密的验证器消息、服务器的会话票证以及指示客户端是否请求相互身份验证的标志。 设置请求相互身份验证的标志是配置 Kerberos的选项之一。 用户永远不会被问及是否应使用相互身份验证。
2. 服务器接收KRB_AP_REQ、解密票证，并提取用户的授权数据和 会话密钥。
3. 服务器使用票证中的会话密钥解密用户的验证器消息，并评估内部的时间戳。
4. 如果验证器消息有效，服务器会检查客户端请求中的相互身份验证标志。
5. 如果设置了相互身份验证标志，服务器将使用会话密钥来加密用户验证器消息的时间，并在类型为 KRB_AP_REP（Kerberos 应用程序回复）的消息中返回结果。
6. 当客户端收到KRB_AP_REP时，它会使用与服务器共享的会话密钥解密服务器的验证器消息，并将服务发送的时间与其原始验证器消息中的时间进行比较。 如果它们匹配，则客户端将确保服务是真实的，并且连接会继续。