Obtención de una credencial para el servicio de obtención de cupones

1. Para iniciar el proceso de autenticación, el cliente envía al servidor de autenticación para un principal de usuario específico una solicitud en la que no se incluye ninguna información protegida, de forma que no es necesario utilizar la encriptación.

2. Cuando el servicio de autenticación recibe la solicitud comprueba el nombre de principal del usuario en la base de datos del KDC. Si concuerda un principal, el servicio de autenticación obtiene su clave privada. A continuación, genera una clave de sesión para que la utilice el cliente y el servicio de obtención de cupones (llamémosla clave de sesión 1) y un cupón para el servicio de obtención de cupones (cupón 1). Este cupón también se conoce como el cupón de obtención de cupones (TGT). Tanto la clave de sesión como el cupón se encriptan mediante la clave privada del usuario y se devuelve la información al cliente.

3. El cliente utiliza esta información para desencriptar la clave de sesión 1 y el cupón 1 mediante la clave privada del principal de usuario. Como la clave privada únicamente debería conocerla el usuario y la base de datos del KDC, la información del paquete debe ser segura. El cliente almacena la información en la antememoria de credenciales.

Normalmente, durante este proceso se solicita una contraseña al usuario. Si ésta coincide con la que se utilizó para crear la clave privada almacenada en la base de datos del KDC, el cliente puede desencriptar satisfactoriamente la información que envió el servicio de autenticación. El cliente tendrá entonces una credencial para utilizar con el servicio de obtención de cupones y estará listo para solicitar una credencial para un servidor.

Figura 7-2 Obtención de una credencial para el servicio de obtención de cupones