Autenticación inicial: el cupón de obtención de cupones

La autenticación de Kerberos tiene dos fases: una autenticación inicial que permite todas las autenticaciones siguientes y estas mismas autenticaciones siguientes.

Figura 1-1 muestra cómo se lleva a cabo la autenticación inicial:

Figura 1-1 Autenticación inicial para la sesión de SEAM

1. Un cliente (un usuario o un servicio como NFS) inicia una sesión de SEAM solicitando un cupón de obtención de cupones (TGT) al Centro de distribución de claves. Esto a menudo se realiza automáticamente durante el inicio de sesión.

   El cupón de obtención de cupones es necesario para obtener otros cupones para servicios específicos. Es posible considerar que el cupón de obtención de cupones es similar a un pasaporte. Al igual que éste, el cupón de obtención de cupones le identifica y le permite obtener diversos "visados", pero éstos (cupones) no son para países extranjeros sino para máquinas remotas o servicios de red. Al igual que los pasaportes y los visados, el cupón de obtención de cupones y los otros cupones diversos tienen vigencias limitadas. La diferencia es que los comandos "adaptados a Kerberos" se dan cuenta de que tiene un pasaporte y obtienen los visados por usted (no es necesario que se encargue personalmente de las transacciones).

2. El KDC crea un cupón de obtención de cupones y lo envía de vuelta codificado al cliente, el cual lo desencripta mediante su contraseña.

3. El cliente, en posesión de un cupón de obtención de cupones válido, ahora puede solicitar cupones para todo tipo de operaciones de red, como rlogin o telnet, mientras dure el cupón de obtención de cupones. Habitualmente, su duración es de varias horas. Cada vez que el cliente lleva a cabo una operación de red única solicita al KDC un cupón para esa operación.