特定のサービスへのアクセスの取得

1. 特定のサービスへのアクセスを要求するには、クライアントはまず認証サーバーからチケット許可サービスの資格を取得し、次にチケット許可サービスからサーバーの資格を取得する必要があります (「チケット許可サービスの資格の取得」と 「サーバーの資格の取得」を参照)。クライアントは、チケット 2 と別のオーセンティケータが入っている要求をサーバーに送信できます。オーセンティケータはセッション鍵 2 で暗号化されています。

2. チケット 2 はあらかじめ、チケット許可サービスによってサービスのサービス鍵で暗号化されています。サービスプリンシパルはサービス鍵を知っているため、サービスはチケット 2 の暗号を復号化して、セッション鍵 2 を取得できます。つまり、セッション鍵 2 でオーセンティケータの暗号を復号化できます。オーセンティケータが暗号を復号化できた場合、クライアントはサービスへのアクセスが許可されます。

図 7-4 特定のサービスへのアクセスの取得