Client/Server Exchange

Dopo che un utente ha un ticket per un server, il client della workstation può stabilire una sessione di comunicazione sicura con tale server.

Per stabilire una sessione di comunicazione sicura con un server

1. Il client invia al server un messaggio di tipo KRB_AP_REQ (Richiesta applicazione Kerberos). Questo messaggio contiene un messaggio di autenticazione crittografato con la chiave inviata dal Centro distribuzione chiavi (KDC) per la sessione con il server, il ticket per le sessioni con il server e un flag che indica se il client richiede l'autenticazione reciproca. L'impostazione del flag che richiede l'autenticazione reciproca è una delle opzioni nella configurazione di Kerberos. L'utente non viene mai chiesto se usare l'autenticazione reciproca.
2. Il server riceve KRB_AP_REQ, decrittografa il ticket ed estrae i dati di autorizzazione dell'utente e la chiave di sessione.
3. Il server usa la chiave di sessione dal ticket per decrittografare il messaggio di autenticazione dell'utente e valuta il timestamp all'interno.
4. Se il messaggio di autenticazione è valido, il server controlla il flag di autenticazione reciproca nella richiesta del client.
5. Se il flag di autenticazione reciproca è impostato, il server usa la chiave di sessione per crittografare l'ora dal messaggio di autenticazione dell'utente e restituisce il risultato in un messaggio di tipo KRB_AP_REP (Risposta dell'applicazione Kerberos).
6. Quando il client riceve KRB_AP_REP, decrittografa il messaggio dell'autenticatore del server con la chiave di sessione che condivide con il server e confronta il tempo inviato dal servizio con l'ora nel messaggio dell'autenticatore originale. Se corrispondono, il client garantisce che il servizio sia autentico e che la connessione procede.