Skaffa en referens för biljettbeviljartjänsten

1. När verifieringsprocessen ska startas skickar klienten en förfrågan till verifieringsservern för en viss användarprincipal. Den här förfrågan skickas utan kryptering. Det finns ingen känslig information i förfrågan så kryptering är överflödig.

2. När förfrågan tas emot av verifieringstjänsten slås principalnamnet för användaren upp i KDC-databasen. Om det finns en matchande principal hämtar verifieringstjänsten principalens privata nyckel. Verifieringstjänsten skapar sedan en sessionsnyckel som ska användas av klienten och biljettbeviljartjänsten (sessionsnyckel 1) och en biljett för biljettbeviljartjänsten (biljett 1). Den här biljetten kallas även biljettbeviljarbiljetten eller TGT. Både sessionsnyckeln och biljetten krypteras med användarens privata nyckel och informationen skickas sedan tillbaka till klienten.

3. Klienten använder informationen för att dekryptera sessionsnyckel 1 och biljett 1 med hjälp av den privata nyckeln för användarprincipalen. Eftersom den privata nyckeln endast ska kännas till av användaren och KDC-databasen, bör information i paketet vara säker. Klienten lagrar informationen i referenscachen.

Under processen tillfrågas vanligen användaren om ett lösenord. Om lösenordet som användaren anger är detsamma som det som användes för att skapa den privata nyckeln som lagras i KDC-databasen, kan klienten dekryptera informationen som skickas av verifieringstjänsten. Nu har klienten en referens som kan användas med biljettbeviljartjänsten. Klienten är klar att begära en referens för en server.

Figur 7-2 Hämta en referens för biljettbeviljartjänsten