Intercambio del servicio de concesión de vales

Después de establecer un vale de concesión de vales (TGT) y una clave de sesión para el cliente, el cliente puede solicitar una clave de sesión independiente y un vale para el servicio.

Para solicitar un vale para otro servicio

1. El cliente Kerberos de la estación de trabajo del usuario solicita credenciales para el servicio mediante el envío, al Centro de distribución de claves (KDC), un mensaje de tipo KRB_TGS_REQ (Solicitud de servicio de Kerberos Ticket-Granting). Este mensaje consta de la identidad del servicio para el que el cliente solicita credenciales, un mensaje de autenticador cifrado con la nueva clave de sesión de inicio de sesión del usuario y el TGT obtenido de Authentication Service Exchange.
2. Cuando el KDC recibe un KRB_TGS_REQ, el KDC descifra el TGT con su clave secreta y extrae la clave de sesión de inicio de sesión del usuario.
3. El KDC usa la clave de sesión de inicio de sesión para descifrar el mensaje de autenticación del usuario y lo evalúa. Si el autenticador supera la prueba, el KDC extrae los datos de autorización del usuario del TGT e inventa una clave de sesión para que el usuario comparta con el servidor solicitado.
4. El KDC cifra una copia de la clave de sesión del servicio con la clave de sesión de inicio de sesión del usuario.
5. El KDC inserta otra copia de la clave de sesión de servicio en un vale, junto con los datos de autorización del usuario, y cifra el vale con la clave maestra del servidor.
6. El KDC devuelve estas credenciales al cliente respondiendo con un mensaje de tipo KRB_TGS_REP (Respuesta de servicio de Kerberos Ticket-Granting).
7. Cuando el cliente recibe la respuesta, descifra la clave de sesión del servicio con la clave de sesión de inicio de sesión del usuario y almacena la clave de sesión de servicio en su caché de vales.
8. El cliente extrae el vale en el servidor y lo almacena en su caché de vales.