認証サービス交換
ユーザーは、ログオン名とパスワードを入力して、ネットワークへのログオンを開始します。 ユーザーのワークステーション上の Kerberos クライアントは、パスワードを暗号化キーに変換し、結果をプログラム変数に保存します。
次に、クライアントは、KDC の認証サービスにKRB_AS_REQの種類のメッセージ (Kerberos 認証サービス要求) を送信することで、キー配布センター (KDC) のチケット付与サービス (TGS) の資格情報を要求します。 このメッセージの最初の部分は、要求されているユーザーと TGS サービスを識別します。 このメッセージの 2 番目の部分には、ユーザーがパスワードを知っていることを証明するための事前認証データが含まれています。 これは、ユーザーのログオン パスワードから派生した マスター キー で暗号化された認証メッセージです。
KDC は、KRB_AS_REQを受信すると、そのデータベース内のユーザーを検索し、関連付けられているユーザーのマスター キーを取得し、事前認証データの暗号化を解除して、内部のタイム スタンプを評価します。 タイム スタンプが有効な場合、KDC は、事前認証データがユーザーのマスター キーで暗号化されているため、クライアントが本物であることを保証できます。
KDC は、ユーザーの ID を確認した後、次のように、クライアントが TGS に提示できる資格情報を作成します。
- KDC はログオン セッション キー を作成し、ユーザーのマスター キーを使用してコピーを暗号化します。
- KDC は、ログオン セッション キーとユーザーの承認データの別のコピーをチケット許可チケット (TGT) に埋め込み、KDC 独自のマスター キーを使用して TGT を暗号化します。
- KDC は、KRB_AS_REPの種類のメッセージ (Kerberos 認証サービス応答) で応答することで、これらの資格情報をクライアントに送信します。
- クライアントは、応答を受信すると、ユーザーのパスワードから派生したキーを使用して、新しいログオン セッション キーの暗号化を解除します。
- クライアントは、チケット キャッシュに新しいキーを格納します。
- クライアントはメッセージから TGT を抽出し、チケット キャッシュにも格納します。