Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De gebruiker begint zich aan te melden bij het netwerk door een aanmeldingsnaam en wachtwoord te typen. De Kerberos--client op het werkstation van de gebruiker converteert het wachtwoord naar een versleutelingssleutel en slaat het resultaat op in een programmavariabele.
De client vraagt vervolgens referenties voor de service voor het verlenen van tickets (TGS) van het Key Distribution Center (KDC) door de verificatieservice van de KDC een bericht van het type KRB_AS_REQ (Kerberos Authentication Service Request) te verzenden. Het eerste deel van dit bericht identificeert de gebruiker en de TGS-service die wordt aangevraagd. Het tweede deel van dit bericht bevat gegevens voor verificatie vooraf die zijn bedoeld om te bewijzen dat de gebruiker het wachtwoord kent. Dit is gewoon een verificatorbericht dat is versleuteld met de hoofdsleutel afgeleid van het aanmeldingswachtwoord van de gebruiker.
Wanneer de KDC KRB_AS_REQ ontvangt, wordt de gebruiker in de database opgezoekd, wordt de hoofdsleutel van de gekoppelde gebruiker opgehaald, worden de vooraf geverifieerde gegevens ontsleuteld en wordt het tijdstempel geƫvalueerd. Als het tijdstempel geldig is, kan de KDC er zeker van zijn dat de vooraf geverifieerde gegevens zijn versleuteld met de hoofdsleutel van de gebruiker en dus dat de client echt is.
Nadat de KDC de identiteit van de gebruiker heeft geverifieerd, worden referenties gemaakt die de client als volgt aan de TGS kan presenteren:
- De KDC vindt een aanmeldings-sessiesleutel en versleutelt een kopie met de hoofdsleutel van de gebruiker.
- De KDC sluit een andere kopie van de aanmeldingssessiesleutel en de autorisatiegegevens van de gebruiker in een tickettoekenningsticket (TGT) in en versleutelt de TGT met de eigen hoofdsleutel van de KDC.
- De KDC stuurt deze referenties terug naar de client door te reageren met een bericht van het type KRB_AS_REP (Kerberos Authentication Service Reply).
- Wanneer de client het antwoord ontvangt, wordt de sleutel gebruikt die is afgeleid van het wachtwoord van de gebruiker om de nieuwe aanmeldingssessiesleutel te ontsleutelen.
- De client slaat de nieuwe sleutel op in de ticketcache.
- De client extraheert de TGT uit het bericht en slaat die ook op in de ticketcache.