驗證服務交換

使用者輸入登入名稱和密碼，開始登入網路。 使用者工作站上的 Kerberos 用戶端會將密碼轉換成加密金鑰，並將結果儲存在程式變數中。

接著，用戶端會傳送 KDC 驗證服務類型的訊息，KRB_AS_REQ (Kerberos 驗證服務要求) ， 以要求票 證授與服務的認證， (TGS) 金鑰發佈中心 (KDC) 。 此訊息的第一個部分會識別要求的使用者和 TGS 服務。 此訊息的第二個部分包含預先驗證資料，旨在證明使用者知道密碼。 這只是使用衍生自使用者登入密碼 的主要金鑰 加密的驗證器訊息。

當 KDC 收到KRB_AS_REQ時，它會在其資料庫中查閱使用者、取得相關聯的使用者主要金鑰、解密預先驗證資料，以及評估其內的時間戳記。 如果時間戳記有效，KDC 可確保預先驗證資料已使用使用者的主要金鑰加密，因此用戶端為正版。

在 KDC 驗證使用者的身分識別之後，它會建立用戶端可以呈現給 TGS 的認證，如下所示：

1. KDC 會發明登入 工作階段金鑰 ，並使用使用者的主要金鑰加密複本。
2. KDC 會將另一份登入工作階段金鑰和使用者的授權資料內嵌在票證授與票證 (TGT) ，並使用 KDC 自己的主要金鑰加密 TGT。
3. KDC 會以 kerberos 驗證服務回復 KRB_AS_REP () 類型的訊息回復，將這些認證傳回給用戶端。
4. 當用戶端收到回復時，它會使用衍生自使用者密碼的金鑰來解密新的登入工作階段金鑰。
5. 用戶端會將新金鑰儲存在其票證快取中。
6. 用戶端也會從訊息中擷取 TGT，並將它儲存在其票證快取中。