Client/Server Exchange

Nadat een gebruiker een ticket voor een server heeft, kan de werkstationclient een beveiligde communicatiesessie met die server tot stand brengen.

Een beveiligde communicatiesessie tot stand brengen met een server

1. De client verzendt de server een bericht van het type KRB_AP_REQ (Kerberos-toepassingsaanvraag). Dit bericht bevat een verificatorbericht dat is versleuteld met de sleutel die is verzonden door het Key Distribution Center (KDC) voor de sessie met de server, het ticket voor sessies met de server en een vlag die aangeeft of de client wederzijdse verificatie aanvraagt. Het instellen van de vlag die wederzijdse verificatie aanvraagt, is een van de opties voor het configureren van Kerberos-. De gebruiker wordt nooit gevraagd of wederzijdse verificatie moet worden gebruikt.
2. De server ontvangt KRB_AP_REQ, ontsleutelt het ticket en extraheert de autorisatiegegevens van de gebruiker en de sessiesleutel.
3. De server gebruikt de sessiesleutel van het ticket om het verificatorbericht van de gebruiker te ontsleutelen en evalueert het tijdstempel binnenin.
4. Als het authenticatorbericht geldig is, controleert de server de wederzijdse verificatievlag in de aanvraag van de client.
5. Als de vlag voor wederzijdse verificatie is ingesteld, gebruikt de server de sessiesleutel om de tijd van het authenticatorbericht van de gebruiker te versleutelen en wordt het resultaat geretourneerd in een bericht van het type KRB_AP_REP (Kerberos Application Reply).
6. Wanneer de client KRB_AP_REP ontvangt, ontsleutelt deze het verificatorbericht van de server met de sessiesleutel die wordt gedeeld met de server en vergelijkt de tijd die door de service wordt verzonden met de tijd in het oorspronkelijke authenticatorbericht. Als deze overeenkomen, is de klant ervan verzekerd dat de service echt is en de verbinding wordt voortgezet.