Acquisizione di una credenziale per un TGS

1. Per iniziare il processo di autenticazione, il client invia una richiesta al server di autenticazione per un nome principale di un utente. Questa richiesta viene inviata non cifrata, poiché non contiene informazioni che richiedono protezione.

2. Quando il servizio di autenticazione riceve la richiesta, esso ricerca il nome principale dell'utente nel database del KDC e, se lo trova, ottiene la chiave privata per quel nome principale. Il servizio di autenticazione genera quindi una chiave di sessione che verrà usata dal client e dal servizio che ha emesso il ticket (TGS) (chiave di sessione 1) e un ticket per il TGS (ticket 1). Questo ticket è detto TGT. Sia la chiave di sessione che il ticket vengono cifrati usando la chiave privata dell'utente e le informazioni vengono rinviate al client.

3. Il client utilizza queste informazioni per decifrare la chiave di sessione 1 e il ticket 1 usando la chiave privata per il nome principale dell'utente. Poiché la chiave privata dovrebbe essere nota solo all'utente e al database del KDC, le informazioni contenute nel pacchetto dovrebbero essere sicure. Il client memorizza le informazioni nella cache delle credenziali.

Normalmente, durante questa procedura il sistema richiede all'utente di inserire la sua password. Se la password inserita è uguale a quella utilizzata per la creazione della chiave privata memorizzata nel database del KDC, il client può decifrare correttamente le informazioni inviate dal servizio di autenticazione. A questo punto il client dispone di una credenziale da usare con il TGS ed è pronto per richiedere una credenziale per un server.

Figura 7-2 Acquisizione di una credenziale per il TGS