Ticket-Granting-Dienstaustausch
Nachdem ein Ticket-Granting Ticket (TGT) und ein Sitzungsschlüssel für den Client eingerichtet wurden, kann der Client einen separaten Sitzungsschlüssel und ein Ticket für den Dienst anfordern.
So fordern Sie ein Ticket für einen anderen Dienst an
- Der Kerberos-Client auf der Arbeitsstation des Benutzers fordert Anmeldeinformationen für den Dienst an, indem er eine Nachricht vom Typ KRB TGS _ _ REQ (Kerberos Ticket-Granting Service Request) an den Schlüsselverteilungscenter (KDC) sendet. Diese Nachricht besteht aus der Identität des Diensts, für den der Client Anmeldeinformationen an fordert, einer Authentisierungsmeldung, die mit dem neuen Anmeldesitzungsschlüssel des Benutzers verschlüsselt ist,und dem TGT, das vom Authentifizierungsdienst Exchange.
- Wenn das KDC einen KRB TGS REQ empfängt, entschlüsselt das KDC das TGT mit seinem geheimen Schlüssel und extrahiert den _ _ Anmeldesitzungsschlüssel des Benutzers.
- Das KDC verwendet den Anmeldesitzungsschlüssel, um die Authentatormeldung des Benutzers zu entschlüsseln und auswerten. Wenn der Authentator den Test besteht, extrahiert das KDC die Autorisierungsdaten des Benutzers aus dem TGT und erfindet einen Sitzungsschlüssel, den der Benutzer für die Freigabe für den angeforderten Server verwenden kann.
- Das KDC verschlüsselt eine Kopie des Dienstsitzungsschlüssels mit dem Anmeldesitzungsschlüssel des Benutzers.
- Das KDC bettet eine weitere Kopie des Dienstsitzungsschlüssels zusammen mit den Autorisierungsdaten des Benutzers in ein Ticket ein und verschlüsselt das Ticket mit dem Hauptschlüssel des Servers.
- Das KDC sendet diese Anmeldeinformationen zurück an den Client, indem es mit einer Nachricht vom Typ KRB _ TGS _ REP (Kerberos Ticket-Granting Service Reply) antwortet.
- Wenn der Client die Antwort empfängt, entschlüsselt er den Dienstsitzungsschlüssel mit dem Anmeldesitzungsschlüssel des Benutzers und speichert den Dienstsitzungsschlüssel im Ticketcache.
- Der Client extrahiert das Ticket auf den Server und speichert es im Ticketcache.