Obtention d'un justificatif d'identité pour le service d'octroi de tickets

1. Pour démarrer le processus d'authentification, le client envoie une requête au serveur d'authentification pour un principal d'utilisateur particulier. Cette requête n'est pas chiffrée. Comme aucune donnée sécurisée n'est incluse dans la requête, il n'est pas nécessaire de recourir au chiffrement.

2. Lorsque la requête est reçue par le service d'authentification, le nom du principal de l'utilisateur est consulté dans la base de données KDC. Si un principal correspondant existe, le service d'authentification obtient la clé privée pour ce principal. Le service d'authentification génère alors une clé de session à utiliser par le client et le service d'octroi de tickets (appelons-la clé de session 1) et un ticket pour le service d'octroi de tickets (ticket 1). Ce ticket est également appelé ticket d'octroi de tickets (TGT). La clé de session et le ticket sont chiffrés au moyen de la clé privée de l'utilisateur, puis les informations sont renvoyées au client.

3. Le client utilise ces informations pour déchiffrer la clé de session 1 et le ticket 1, en employant la clé privée pour le principal d'utilisateur. Comme la clé privée ne doit être connue que par l'utilisateur et la base de données KDC, les informations contenues dans le paquet devraient être sécuritaires. Le client enregistre les informations dans le cache des justificatifs d'identité.

Normalement, l'utilisateur est alors invité à taper son mot de passe. Si le mot de passe entré est identique à celui utilisé pour créer la clé privée enregistrée dans la base de données KDC, le client peut déchiffrer les informations envoyées par le service d'authentification. Le client possède maintenant un justificatif d'identité à utiliser avec le service d'octroi de tickets. Le client est alors prêt à demander un justificatif d'identité pour un serveur.

Figure 7-2 Obtention d'un justificatif d'identité pour le service d'octroi de tickets