Acquisizione di una credenziale per un server

1. Per richiedere l'accesso a un server specifico, un client deve prima aver ottenuto una credenziale per quel server dal servizio di autenticazione (vedere "Acquisizione di una credenziale per un TGS"). Il client invia quindi al TGS una richiesta che include il nome principale del servizio, il ticket 1 e i dati di autenticazione cifrati con la chiave di sessione 1. Il ticket 1 era stato originariamente cifrato dal servizio di autenticazione usando la chiave di servizio del TGS.

2. Poiché il TGS conosce la sua chiave di servizio, esso può decifrare il ticket 1. Le informazioni incluse nel ticket 1 includono la chiave di sessione 1, per permettere al TGS di decifrare i dati di autenticazione. A questo punto, il nome principale dell'utente viene autenticato presso il TGS.

3. Una volta effettuata l'autenticazione, il TGS genera una chiave di sessione per il nome principale dell'utente e per il server (chiave di sessione 2) e un ticket per il server (ticket 2). La chiave di sessione 2 e il ticket 2 vengono quindi cifrati usando la chiave di sessione 1. Poiché la chiave di sessione 1 è nota solo al client e al TGS, queste informazioni sono sicure e possono essere trasmesse con sicurezza attraverso la rete.

4. Quando il client riceve questo pacchetto di informazioni, esso lo decifra usando la chiave di sessione 1, che aveva memorizzato nella cache delle credenziali. Il client ha così ottenuto una credenziale da utilizzare con il server, ed è pronto per richiedere l'accesso a un determinato servizio su quel server.

Figura 7-3 Acquisizione di una credenziale per un server