Klient/serwer Exchange

Gdy użytkownik ma bilet na serwer, klient stacji roboczej może ustanowić bezpieczną sesję komunikacji z tym serwerem.

Aby ustanowić bezpieczną sesję komunikacji z serwerem

1. Klient wysyła serwerowi komunikat o typie KRB_AP_REQ (żądanie aplikacji Kerberos). Ten komunikat zawiera komunikat wystawcy uwierzytelnienia, który jest zaszyfrowany przy użyciu klucza wysyłanego przez centrum dystrybucji kluczy (KDC) dla sesji z serwerem, bilet sesji z serwerem oraz flagę wskazującą, czy klient żąda wzajemnego uwierzytelniania. Ustawienie flagi żądającej wzajemnego uwierzytelniania jest jedną z opcji konfigurowania Kerberos. Użytkownik nigdy nie jest pytany, czy należy używać wzajemnego uwierzytelniania.
2. Serwer odbiera KRB_AP_REQ, odszyfrowuje bilet i wyodrębnia dane autoryzacji użytkownika oraz klucz sesji .
3. Serwer używa klucza sesji z biletu do odszyfrowania wiadomości uwierzytelniającego użytkownika i ocenia sygnaturę czasową wewnątrz.
4. Jeśli komunikat wystawcy uwierzytelnienia jest prawidłowy, serwer sprawdza flagę wzajemnego uwierzytelniania w żądaniu klienta.
5. Jeśli ustawiono flagę wzajemnego uwierzytelniania, serwer używa klucza sesji do szyfrowania czasu z komunikatu wystawcy uwierzytelnienia użytkownika i zwraca wynik komunikatu o typie KRB_AP_REP (odpowiedź aplikacji Kerberos).
6. Gdy klient odbiera KRB_AP_REP, odszyfrowuje komunikat wystawcy uwierzytelniania serwera z kluczem sesji, który udostępnia serwerowi i porównuje czas wysyłany z powrotem przez usługę z czasem w oryginalnym komunikacie wystawcy uwierzytelniania. Jeśli są one zgodne, klient ma pewność, że usługa jest prawdziwa, a połączenie będzie kontynuowane.