クライアントに対してチケット許可チケット (TGT) と セッション キー が確立された後、クライアントはサービスの別のセッション キーとチケットを要求できます。
別のサービス のチケットを要求するには
- ユーザーのワークステーション上の Kerberos クライアントは、KRB_TGS_REQ (Kerberos Ticket-Granting サービス要求) の種類のメッセージである キー配布センター (KDC) に送信することで、サービスの資格情報要求します。 このメッセージは、クライアントが資格情報を要求しているサービスの ID、ユーザーの新しいログオン セッション キーで暗号化された認証メッセージ、および Authentication Service Exchangeから取得した TGT で構成されます。
- KDC がKRB_TGS_REQを受け取ると、KDC はその秘密鍵を使用して TGT を復号化し、ユーザーのログオン セッション キーを抽出します。
- KDC は、ログオン セッション キー を使用して、ユーザーの認証メッセージを復号化して評価します。 認証子がテストに合格すると、KDC は TGT からユーザーの承認データを抽出し、ユーザーが要求されたサーバーと共有するためのセッション キーを作成します。
- KDC は、サービス セッション キーの 1 つのコピーをユーザーのログオン セッション キーで暗号化します。
- KDC は、ユーザーの承認データと共にサービス セッション キーの別のコピーをチケットに埋め込み、サーバーの マスター キーでチケットを暗号化します。
- KDC は、KRB_TGS_REP (Kerberos Ticket-Granting サービス応答) の種類のメッセージで応答することで、これらの資格情報をクライアントに送信します。
- クライアントは、応答を受信すると、ユーザーのログオン セッション キーを使用してサービス セッション キーの暗号化を解除し、サービス セッション キーをチケット キャッシュに格納します。
- クライアントは、チケットをサーバーに抽出し、チケット キャッシュに格納します。