身份验证服务 Exchange

用户通过键入登录名和密码开始登录到网络。 用户工作站上的 Kerberos 客户端将密码转换为加密密钥，并将结果保存在程序变量中。

然后，客户端通过向 KDC 的身份验证服务发送KRB_AS_REQ类型为KRB_AS_REQ（Kerberos 身份验证服务请求）发送 密钥分发中心（KDC）的票证授予服务（TGS）凭据。 此消息的第一部分标识请求的用户和 TGS 服务。 此消息的第二部分包含预身份验证数据，旨在证明用户知道密码。 这只是使用 主密钥加密的验证器消息， 派生自用户的登录密码。

当 KDC 收到KRB_AS_REQ时，它会在其数据库中查找用户，获取关联的用户的主密钥，解密预身份验证数据，并评估内部的时间戳。 如果时间戳有效，则 KDC 可以保证预身份验证数据已使用用户的主密钥进行加密，因此客户端是正版的。

在 KDC 验证用户的标识后，它会创建客户端可以向 TGS 显示的凭据，如下所示：

1. KDC 发明登录 会话密钥 并使用用户的主密钥加密副本。
2. KDC 在票证授予票证（TGT）中嵌入登录会话密钥的另一个副本和用户的授权数据，并使用 KDC 自己的主密钥加密 TGT。
3. KDC 通过回复类型为 KRB_AS_REP（Kerberos 身份验证服务回复）的消息，将这些凭据发送回客户端。
4. 当客户端收到回复时，它使用派生自用户密码的密钥来解密新的登录会话密钥。
5. 客户端将新密钥存储在其票证缓存中。
6. 客户端从消息中提取 TGT，并将其存储在票证缓存中。