Exchange client/serveur
Une fois qu’un utilisateur a un ticket vers un serveur, le client de station de travail peut établir une session de communication sécurisée avec ce serveur.
Pour établir une session de communication sécurisée avec un serveur
- Le client envoie au serveur un message de type KRB _ AP _ req (demande d’application Kerberos). Ce message contient un message d’authentificateur chiffré avec la clé envoyée par le Centre de distribution de clés (KDC) pour la session avec le serveur, le ticket pour les sessions avec le serveur et un indicateur qui indique si le client demande une authentification mutuelle. La définition de l’indicateur qui demande l’authentification mutuelle est l’une des options de configuration de Kerberos. L’utilisateur n’est jamais invité à utiliser l’authentification mutuelle.
- Le serveur reçoit une _ demande KRB AP _ , déchiffre le ticket, puis extrait les données d’autorisation de l’utilisateur et la clé de session.
- Le serveur utilise la clé de session du ticket pour déchiffrer le message de l’authentificateur de l’utilisateur et évalue l’horodatage à l’intérieur de.
- Si le message de l’authentificateur est valide, le serveur vérifie l’indicateur d’authentification mutuelle dans la demande du client.
- Si l’indicateur d’authentification mutuelle est défini, le serveur utilise la clé de session pour chiffrer l’heure à partir du message de l’authentificateur de l’utilisateur et retourne le résultat dans un message de type KRB _ AP _ Rep (réponse de l’application Kerberos).
- Lorsque le client reçoit un _ _ REP AP, il déchiffre le message de l’authentificateur du serveur avec la clé de session qu’il partage avec le serveur et compare l’heure renvoyée par le service à l’heure de son message d’authentificateur d’origine. S’ils correspondent, le client est assuré que le service est authentique et que la connexion se poursuit.