Exchange de cliente o servidor

Una vez que un usuario tiene un vale para un servidor, el cliente de estación de trabajo puede establecer una sesión de comunicaciones seguras con ese servidor.

Para establecer una sesión de comunicaciones seguras con un servidor

1. El cliente envía al servidor un mensaje de tipo KRB_AP_REQ (solicitud de aplicación Kerberos). Este mensaje contiene un mensaje autenticador cifrado con la clave enviada por el Centro de distribución de claves (KDC) para la sesión con el servidor, el vale para sesiones con el servidor y una marca que indica si el cliente solicita autenticación mutua. Establecer la marca que solicita autenticación mutua es una de las opciones de configuración de Kerberos. El usuario nunca se pregunta si se debe usar la autenticación mutua.
2. El servidor recibe KRB_AP_REQ, descifra el vale y extrae los datos de autorización del usuario y la clave de sesión.
3. El servidor usa la clave de sesión del vale para descifrar el mensaje del autenticador del usuario y evalúa la marca de tiempo dentro.
4. Si el mensaje de autenticación es válido, el servidor comprueba la marca de autenticación mutua en la solicitud del cliente.
5. Si se establece la marca de autenticación mutua, el servidor usa la clave de sesión para cifrar el tiempo del mensaje autenticador del usuario y devuelve el resultado en un mensaje de tipo KRB_AP_REP (respuesta de aplicación Kerberos).
6. Cuando el cliente recibe KRB_AP_REP, descifra el mensaje del autenticador del servidor con la clave de sesión que comparte con el servidor y compara el tiempo enviado por el servicio con la hora en su mensaje de autenticador original. Si coinciden, el cliente está seguro de que el servicio es auténtico y la conexión continúa.