Обмен данными между клиентом и сервером

После того как у пользователя есть билет на сервер, клиент рабочей станции может установить сеанс безопасного взаимодействия с этим сервером.

Создание сеанса безопасной связи с сервером

1. Клиент отправляет серверу сообщение типа KRB_AP_REQ (запрос приложения Kerberos). Это сообщение содержит сообщение аутентификатора, зашифрованное с помощью ключа, отправленного центром распространения ключей (KDC) для сеанса с сервером, билет для сеансов с сервером и флаг, указывающий, запрашивает ли клиент взаимную проверку подлинности. Установка флага, запрашивающего взаимную проверку подлинности, является одним из вариантов настройки Kerberos. Пользователю никогда не предлагается использовать взаимную проверку подлинности.
2. Сервер получает KRB_AP_REQ, расшифровывает билет и извлекает данные авторизации пользователя и ключ сеанса.
3. Сервер использует ключ сеанса из билета для расшифровки сообщения аутентификатора пользователя и оценивает метку времени внутри.
4. Если сообщение аутентификатора является допустимым, сервер проверяет флаг взаимной проверки подлинности в запросе клиента.
5. Если установлен флаг взаимной проверки подлинности, сервер использует ключ сеанса для шифрования времени из сообщения аутентификатора пользователя и возвращает результат в сообщении типа KRB_AP_REP (Ответ приложения Kerberos).
6. Когда клиент получает KRB_AP_REP, он расшифровывает сообщение аутентификатора сервера с помощью ключа сеанса, которым он предоставляет общий доступ к серверу, и сравнивает время, отправляемые службой, с временем в исходном сообщении аутентификатора. Если они совпадают, клиент будет уверен, что служба является подлинной, и подключение будет продолжено.