Ticket-Granting Service Exchange

Nadat een ticket-granting ticket (TGT) en sessiesleutel voor de client tot stand zijn gebracht, kan de client een afzonderlijke sessiesleutel en een ticket voor de service aanvragen.

Een ticket aanvragen voor een andere service

1. De Kerberos-client op het werkstation van de gebruiker vraagt referenties voor de service door deze te verzenden naar het Key Distribution Center (KDC), een bericht van het type KRB_TGS_REQ (Kerberos Ticket-Granting Service Request). Dit bericht bestaat uit de identiteit van de service waarvoor de client referenties aanvraagt, een verificatorbericht dat is versleuteld met de nieuwe aanmeldingssleutel van de gebruiker sessiesleutelen de TGT die is verkregen van de Authentication Service Exchange-.
2. Wanneer de KDC een KRB_TGS_REQ ontvangt, ontsleutelt de KDC de TGT met de geheime sleutel en extraheert de aanmeldingssessiesleutel van de gebruiker.
3. De KDC gebruikt de aanmeldings-sessiesleutel om het verificatorbericht van de gebruiker te ontsleutelen en te evalueren. Als de verificator de test doorstaat, haalt de KDC de autorisatiegegevens van de gebruiker op uit de TGT en wordt een sessiesleutel voor de gebruiker gebruikt om te delen met de aangevraagde server.
4. De KDC versleutelt één kopie van de servicesessiesleutel met de aanmeldingssessiesleutel van de gebruiker.
5. De KDC sluit een andere kopie van de servicesessiesleutel in een ticket in, samen met de autorisatiegegevens van de gebruiker, en versleutelt het ticket met de hoofdsleutel van de server.
6. De KDC stuurt deze referenties terug naar de client door te reageren met een bericht van het type KRB_TGS_REP (Kerberos Ticket-Granting Service Reply).
7. Wanneer de client het antwoord ontvangt, ontsleutelt deze de servicesessiesleutel met de aanmeldingssessiesleutel van de gebruiker en slaat de servicesessiesleutel op in de ticketcache.
8. De client extraheert het ticket naar de server en slaat dit op in de ticketcache.