Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После того как пользователь имеет билет на сервер, клиент рабочей станции может установить сеанс безопасной связи с этим сервером.
Создание безопасного сеанса связи с сервером
- Клиент отправляет серверу сообщение типа KRB_AP_REQ (запрос приложения Kerberos). Это сообщение содержит сообщение проверки подлинности, зашифрованное ключом, отправленным центром распространения ключей (KDC) для сеанса с сервером, билетом на сеанс с сервером и флагом, указывающим, запрашивает ли клиент взаимную проверку подлинности. Установка флага, запрашивающего взаимную проверку подлинности, является одним из вариантов настройки Kerberos. Пользователь никогда не спрашивает, следует ли использовать взаимную проверку подлинности.
- Сервер получает KRB_AP_REQ, расшифровывает билет и извлекает данные авторизации пользователя и ключ сеанса .
- Сервер использует ключ сеанса из билета для расшифровки сообщения аутентификатора пользователя и оценивает метку времени внутри.
- Если сообщение аутентификатора допустимо, сервер проверяет флаг взаимной проверки подлинности в запросе клиента.
- Если установлен флаг взаимной проверки подлинности, сервер использует ключ сеанса для шифрования времени от сообщения проверки подлинности пользователя и возвращает результат в сообщении типа KRB_AP_REP (ответ приложения Kerberos).
- Когда клиент получает KRB_AP_REP, он расшифровывает сообщение аутентификатора сервера с ключом сеанса, которым он предоставляет общий доступ к серверу, и сравнивает время, отправленное службой, с временем в исходном сообщении аутентификатора. Если они соответствуют, клиент гарантирует, что служба является подлинной, и подключение продолжается.