客户端/服务器 Exchange
用户获得服务器的票证后,工作站客户端可以与该服务器建立安全通信会话。
与服务器建立安全通信会话
- 客户端向服务器发送KRB_AP_REQ (Kerberos 应用程序请求) 类型的消息。 此消息包含验证器消息,该消息使用 密钥分发中心 (KDC) 发送的密钥进行加密,用于与服务器的会话,以及指示客户端是否请求相互身份验证的标志。 设置请求相互身份验证的标志是配置 Kerberos 的选项之一。 从不询问用户是否应使用相互身份验证。
- 服务器接收KRB_AP_REQ,解密票证,并提取用户的授权数据和 会话密钥。
- 服务器使用票证中的会话密钥来解密用户的验证器消息,并评估其中的时间戳。
- 如果验证器消息有效,服务器将检查客户端请求中的相互身份验证标志。
- 如果设置了相互身份验证标志,服务器将使用会话密钥来加密用户验证器消息的时间,并在KRB_AP_REP (Kerberos 应用程序回复) 类型的消息中返回结果。
- 当客户端收到KRB_AP_REP时,它会使用与服务器共享的会话密钥解密服务器的验证器消息,并将服务发回的时间与其原始验证器消息中的时间进行比较。 如果它们匹配,则客户端将确保服务是正版的,并且连接继续进行。