チケット許可サービスの資格の取得

1. 認証プロセスを開始するには、クライアントは特定のユーザープリンシパルに対する要求を認証サーバーに送信します。この要求は暗号化されずに送信されます。この要求には機密情報は含まれていないため、暗号化の必要はありません。

2. 認証サービスは要求を受信すると、ユーザーのプリンシパル名を KDC データベースで検索します。プリンシパルが一致した場合、認証サービスはそのプリンシパル用の非公開鍵を取得します。次に、認証サービスはクライアントとチケット許可サービスが使用するセッション鍵 (セッション鍵 1 と呼ぶ) とチケット許可サービス用のチケット (チケット 1 と呼ぶ) を生成します。このチケットがチケット許可チケット (TGT) です。セッション鍵とチケットは両方ともユーザーの非公開鍵で暗号化され、クライアントに戻されます。

3. クライアントはユーザープリンシパルの非公開鍵でセッション鍵 1 とチケット 1 の暗号を復号化します。非公開鍵を知っているのはユーザーと KDC データベースだけであるため、パケット内の情報は安全です。クライアントはこの情報を資格キャッシュに格納します。

通常、この処理中、ユーザーはパスワードを入力する必要があります。入力したパスワードが KDC データベースに格納されている非公開鍵を構築するために使用されたパスワードと同じ場合、クライアントは認証サービスからの送信されてきた情報の暗号を復号化できます。この時点で、クライアントはチケット許可サービスと一緒に使用する資格を取得し、サーバーの資格を要求することができます。

図 7-2 チケット許可サービスの資格の取得