Exchange cliente/servidor

Depois que um usuário tem um tíquete para um servidor, o cliente da estação de trabalho pode estabelecer uma sessão de comunicação segura com esse servidor.

Para estabelecer uma sessão de comunicação segura com um servidor

1. O cliente envia ao servidor uma mensagem do tipo KRB_AP_REQ (Solicitação de Aplicativo Kerberos). Essa mensagem contém uma mensagem de autenticador criptografada com a chave enviada pelo KDC ( Centro de Distribuição de Chaves ) para a sessão com o servidor, o tíquete para sessões com o servidor e um sinalizador que indica se o cliente solicita autenticação mútua. Definir o sinalizador que solicita autenticação mútua é uma das opções na configuração do Kerberos. O usuário nunca é questionado se a autenticação mútua deve ser usada.
2. O servidor recebe KRB_AP_REQ, descriptografa o tíquete e extrai os dados de autorização do usuário e a chave de sessão.
3. O servidor usa a chave de sessão do tíquete para descriptografar a mensagem do autenticador do usuário e avalia o carimbo de data/hora dentro.
4. Se a mensagem do autenticador for válida, o servidor verificará o sinalizador de autenticação mútua na solicitação do cliente.
5. Se o sinalizador de autenticação mútua estiver definido, o servidor usará a chave de sessão para criptografar a hora da mensagem do autenticador do usuário e retornará o resultado em uma mensagem do tipo KRB_AP_REP (Resposta do Aplicativo Kerberos).
6. Quando o cliente recebe KRB_AP_REP, ele descriptografa a mensagem autenticadora do servidor com a chave de sessão que compartilha com o servidor e compara o tempo enviado pelo serviço com a hora em sua mensagem de autenticador original. Se eles corresponderem, o cliente tem certeza de que o serviço é original e a conexão continua.