Scambio del servizio di concessione ticket

Dopo aver stabilito un ticket di concessione ticket (TGT) e una chiave di sessione per il client, il client può richiedere una chiave di sessione e un ticket separati per il servizio.

Per richiedere un ticket per un altro servizio

1. Il client Kerberos nella workstation dell'utente richiede le credenziali per il servizio inviando, al Centro distribuzione chiavi (KDC), un messaggio di tipo KRB_TGS_REQ (Richiesta di servizio Kerberos Ticket-Granting). Questo messaggio è costituito dall'identità del servizio per cui il client richiede le credenziali, un messaggio di autenticazione crittografato con la nuova chiave di accesso dell'utente e il TGT ottenuto da Authentication Service Exchange.
2. Quando il KDC riceve un KRB_TGS_REQ, il KDC decrittografa il TGT con la chiave privata ed estrae la chiave di sessione di accesso dell'utente.
3. Il KDC usa la chiave di sessione di accesso per decrittografare il messaggio di autenticazione dell'utente e valutarlo. Se l'autenticatore supera il test, il KDC estrae i dati di autorizzazione dell'utente dal TGT e inventa una chiave di sessione per l'utente da condividere con il server richiesto.
4. Il KDC crittografa una copia della chiave della sessione del servizio con la chiave di sessione di accesso dell'utente.
5. Il KDC incorpora un'altra copia della chiave della sessione del servizio in un ticket, insieme ai dati di autorizzazione dell'utente e crittografa il ticket con la chiave master del server.
6. Il KDC invia nuovamente queste credenziali al client rispondendo con un messaggio di tipo KRB_TGS_REP (Risposta al servizio Kerberos Ticket-Granting).
7. Quando il client riceve la risposta, decrittografa la chiave della sessione del servizio con la chiave di sessione di accesso dell'utente e archivia la chiave della sessione del servizio nella cache del ticket.
8. Il client estrae il ticket al server e archivia il ticket nella cache dei ticket.