Échange de service TG (ticket-granting)
Une fois qu’un ticket d’octroi de ticket (TGT) et une clé de session ont été établis pour le client, le client peut demander une clé de session et un ticket distincts pour le service.
Pour demander un ticket pour un autre service
- Le client Kerberos sur la station de travail de l’utilisateur demande des informations d’identification pour le service en envoyant au centre de distribution de clés (KDC) un message de type KRB_TGS_REQ (Demande de service Kerberos Ticket-Granting). Ce message se compose de l’identité du service pour lequel le client demande des informations d’identification, d’un message d’authentificateur chiffré avec la nouvelle clé de session d’ouverture de session de l’utilisateur et du TGT obtenu à partir de l’échange du service d’authentification.
- Lorsque le KDC reçoit une KRB_TGS_REQ, il déchiffre le TGT avec sa clé secrète et extrait la clé de session d’ouverture de session de l’utilisateur.
- Le KDC utilise la clé de session d’ouverture de session pour déchiffrer le message d’authentification de l’utilisateur et l’évaluer. Si l’authentificateur réussit le test, le KDC extrait les données d’autorisation de l’utilisateur du TGT et invente une clé de session que l’utilisateur peut partager avec le serveur demandé.
- Le KDC chiffre une copie de la clé de session de service avec la clé de session d’ouverture de session de l’utilisateur.
- Le KDC incorpore une autre copie de la clé de session de service dans un ticket, ainsi que les données d’autorisation de l’utilisateur, et chiffre le ticket avec la clé master du serveur.
- Le KDC renvoie ces informations d’identification au client en répondant avec un message de type KRB_TGS_REP (Réponse de service Kerberos Ticket-Granting).
- Lorsque le client reçoit la réponse, il déchiffre la clé de session de service avec la clé de session d’ouverture de session de l’utilisateur et stocke la clé de session de service dans son cache de tickets.
- Le client extrait le ticket sur le serveur et le stocke dans son cache de tickets.