Client/Server Exchange

Nachdem ein Benutzer über ein Ticket für einen Server verfügt, kann der Arbeitsstationsclient eine sichere Kommunikationssitzung mit diesem Server einrichten.

So richten Sie eine sichere Kommunikationssitzung mit einem Server ein

1. Der Client sendet dem Server eine Nachricht vom Typ KRB_AP_REQ (Kerberos-Anwendungsanforderung). Diese Nachricht enthält eine Authentifikatornachricht, die mit dem Schlüssel verschlüsselt wird, der vom Key Distribution Center (KDC) für die Sitzung mit dem Server gesendet wird, das Ticket für Sitzungen mit dem Server und ein Flag, das angibt, ob der Client die gegenseitige Authentifizierung anfordert. Das Festlegen des Flags, das die gegenseitige Authentifizierung anfordert, ist eine der Optionen beim Konfigurieren von Kerberos. Der Benutzer wird nie gefragt, ob die gegenseitige Authentifizierung verwendet werden soll.
2. Der Server empfängt KRB_AP_REQ, entschlüsselt das Ticket und extrahiert die Autorisierungsdaten des Benutzers und den Sitzungsschlüssel.
3. Der Server verwendet den Sitzungsschlüssel aus dem Ticket, um die Authentifikatornachricht des Benutzers zu entschlüsseln und den Zeitstempel darin auszuwerten.
4. Wenn die Authentifikatormeldung gültig ist, überprüft der Server das Gegenseitige Authentifizierungsflag in der Clientanforderung.
5. Wenn das Flag für die gegenseitige Authentifizierung festgelegt ist, verwendet der Server den Sitzungsschlüssel, um die Uhrzeit von der Authentifikatornachricht des Benutzers zu verschlüsseln, und gibt das Ergebnis in einer Nachricht vom Typ KRB_AP_REP (Kerberos-Anwendungsantwort) zurück.
6. Wenn der Client KRB_AP_REP empfängt, entschlüsselt er die Authentifikatornachricht des Servers mit dem Sitzungsschlüssel, den er mit dem Server teilt, und vergleicht die vom Dienst zurückgesendete Zeit mit der Zeit in der ursprünglichen Authentifikatormeldung. Wenn sie übereinstimmen, wird dem Client sichergestellt, dass der Dienst original ist, und die Verbindung wird fortgesetzt.