Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En lugar de enviar las claves de sesión cifradas a ambas entidades de seguridad, el KDC envía tanto las copias del cliente como las copias del servidor de la clave de sesión de al cliente. La copia del cliente de la clave de sesión se cifra con la clave maestra del cliente y, por tanto, ninguna otra entidad puede descifrarla. La copia del servidor de la clave de sesión está incrustada, junto con los datos de autorización sobre el cliente, en una estructura de datos denominada vale. El vale se cifra completamente con la clave maestra del servidor y, por tanto, el cliente no puede leer ni cambiar el vale ni ninguna otra entidad que no tenga acceso a la clave maestra del servidor. Es responsabilidad del cliente almacenar el vale de forma segura hasta que se comunique con el servidor.
Nota
El KDC solo proporciona un servicio de concesión de vales. El cliente y el servidor son responsables de mantener seguras sus respectivas claves maestras.
Cuando el cliente recibe la respuesta del KDC, extrae el vale y su propia copia de la clave de sesión, lo que coloca ambos en una caché segura. Para establecer una sesión segura con el servidor, envía al servidor un mensaje que consta del vale, todavía cifrado con la clave maestra del servidor y un mensaje de autenticador cifrado con la clave de sesión. Juntos, el vale y el mensaje de autenticación son las credenciales del cliente al servidor.
Cuando el servidor recibe credenciales de un cliente, descifra el vale con su clave maestra , extrae la clave de sesión y usa la clave de sesión para descifrar el mensaje de autenticación del cliente. Si todo se desvía, el servidor sabe que las credenciales del cliente fueron emitidas por el KDC, una autoridad de confianza. Para la autenticación mutua, el servidor responde cifrando la marca de tiempo del mensaje de autenticación del cliente mediante la clave de sesión. Este mensaje cifrado se envía al cliente. A continuación, el cliente descifra el mensaje. Si el mensaje devuelto es el mismo que la marca de tiempo en el mensaje autenticador original, el servidor se autentica.
Como ventaja agregada, el servidor no necesita almacenar las claves de sesión que usa con sus clientes. Es responsabilidad de cada cliente administrar el vale para el servidor en su caché de vales y presentar ese vale cada vez que accede al servidor. Cada vez que el servidor recibe un vale de un cliente, usa su clave maestra para descifrar el vale y extraer la clave de sesión. Cuando el servidor ya no necesita la clave de sesión, se elimina la clave.
El cliente no necesita acceder al KDC cada vez que quiera acceder a este servidor en particular. Los vales se pueden reutilizar. Como medida de precaución frente a la posibilidad de robo de billetes, las entradas tienen una hora de expiración, especificada por el KDC en la estructura de vales. Cuánto tiempo es válido un vale depende de la directiva kerberos para el dominio kerberos. Normalmente, los vales son buenos durante no más de ocho horas, aproximadamente la duración de una sesión de inicio de sesión normal . Cuando el usuario de una estación de trabajo cliente cierra sesión, la caché de vales de cliente se vacía y se destruyen todos los vales y claves de sesión de cliente.