Client/Serveur Exchange
Une fois qu’un utilisateur dispose d’un ticket pour un serveur, le client de station de travail peut établir une session de communication sécurisée avec ce serveur.
Pour établir une session de communication sécurisée avec un serveur
- Le client envoie au serveur un message de type KRB_AP_REQ (demande d’application Kerberos). Ce message contient un message d’authentificateur chiffré avec la clé envoyée par le centre de distribution de clés (KDC) pour la session avec le serveur, le ticket pour les sessions avec le serveur et un indicateur qui indique si le client demande une authentification mutuelle. La définition de l’indicateur qui demande l’authentification mutuelle est l’une des options de configuration de Kerberos. L’utilisateur n’est jamais invité à savoir si l’authentification mutuelle doit être utilisée.
- Le serveur reçoit KRB_AP_REQ, déchiffre le ticket et extrait les données d’autorisation de l’utilisateur et la clé de session.
- Le serveur utilise la clé de session du ticket pour déchiffrer le message d’authentificateur de l’utilisateur et évalue l’horodatage à l’intérieur.
- Si le message d’authentificateur est valide, le serveur vérifie l’indicateur d’authentification mutuelle dans la demande du client.
- Si l’indicateur d’authentification mutuelle est défini, le serveur utilise la clé de session pour chiffrer l’heure du message d’authentificateur de l’utilisateur et retourne le résultat dans un message de type KRB_AP_REP (Réponse d’application Kerberos).
- Lorsque le client reçoit KRB_AP_REP, il déchiffre le message d’authentificateur du serveur avec la clé de session qu’il partage avec le serveur et compare l’heure renvoyée par le service avec l’heure dans son message d’authentification d’origine. S’ils correspondent, le client est assuré que le service est authentique et que la connexion continue.