認証サービス交換

ユーザーは、ログオン名とパスワードを入力して、ネットワークへのログオンを開始します。 ユーザーのワークステーション上の Kerberos クライアントは、パスワードを暗号化キーに変換し、結果をプログラム変数に保存します。

次に、クライアントは、KDC の認証サービスにKRB_AS_REQの種類のメッセージ (Kerberos 認証サービス要求) を送信することで、キー配布センター (KDC) のチケット付与サービス (TGS) の資格情報を要求します。 このメッセージの最初の部分は、要求されているユーザーと TGS サービスを識別します。 このメッセージの 2 番目の部分には、ユーザーがパスワードを知っていることを証明するための事前認証データが含まれています。 これは、ユーザーのログオン パスワードから派生した マスター キー で暗号化された認証メッセージです。

KDC は、KRB_AS_REQを受信すると、そのデータベース内のユーザーを検索し、関連付けられているユーザーのマスター キーを取得し、事前認証データの暗号化を解除して、内部のタイム スタンプを評価します。 タイム スタンプが有効な場合、KDC は、事前認証データがユーザーのマスター キーで暗号化されているため、クライアントが本物であることを保証できます。

KDC は、ユーザーの ID を確認した後、次のように、クライアントが TGS に提示できる資格情報を作成します。

1. KDC はログオン セッション キー を作成し、ユーザーのマスター キーを使用してコピーを暗号化します。
2. KDC は、ログオン セッション キーとユーザーの承認データの別のコピーをチケット許可チケット (TGT) に埋め込み、KDC 独自のマスター キーを使用して TGT を暗号化します。
3. KDC は、KRB_AS_REPの種類のメッセージ (Kerberos 認証サービス応答) で応答することで、これらの資格情報をクライアントに送信します。
4. クライアントは、応答を受信すると、ユーザーのパスワードから派生したキーを使用して、新しいログオン セッション キーの暗号化を解除します。
5. クライアントは、チケット キャッシュに新しいキーを格納します。
6. クライアントはメッセージから TGT を抽出し、チケット キャッシュにも格納します。