サーバーの資格の取得

1. 特定のサーバーへアクセスを要求するには、クライアントはチケット許可サービスの資格を認証サービスから取得する必要があります (「チケット許可サービスの資格の取得」を参照)。次に、クライアントはチケット許可サービスに、サービスプリンシパル名、チケット 1、セッション鍵 1 で暗号化されたオーセンティケータが入っている要求を送信します。チケット 1 はあらかじめ、認証サービスによってチケット許可サービスのサービス鍵で暗号化されています。

2. チケット許可サービスはチケット許可サービスのサービス鍵を知っているため、チケット 1 の暗号は復号化できます。チケット 1 に入っている情報にはセッション鍵 1 が入っているため、チケット許可サービスはオーセンティケータの暗号を復号化できます。この時点で、ユーザープリンシパルはチケット許可サービスで認証されます。

3. 認証が成功した後、チケット許可サービスは、ユーザープリンシパルとサーバー用のセッション鍵 (セッション鍵 2) とサーバー用のチケット (チケット 2) を生成します。次に、セッション鍵 2 とチケット 2 はセッション鍵 1 で暗号化されます。セッション鍵 1 を知っているのはクライアントとチケット許可サービスだけであるため、この情報のセキュリティは保護された状態で、ネットワーク上で使用できます。

4. この情報パケットを受信すると、クライアントは資格キャッシュに格納していた情報の暗号をセッション鍵 1 で復号化します。この時点で、クライアントはサーバーと一緒に使用する資格を取得しました。これで、クライアントはそのサーバー上にある特定のサービスへのアクセスを要求することができます。

図 7-3 サーバーの資格の取得