Obtención de una credencial para un servidor

1. Para solicitar el acceso a un servidor específico, primero el cliente debe haber obtenido una credencial para este servidor en el servicio de autenticación (véase "Obtención de una credencial para el servicio de obtención de cupones"); a continuación envía una solicitud al servicio de obtención de cupones, que incluye el nombre del principal de servicio, el cupón 1 y un autenticador encriptado con la clave de sesión 1. El cupón 1 fue encriptado originariamente por el servicio de autenticación mediante la clave de servicio del servicio de obtención de cupones.

2. Como el servicio de obtención de cupones conoce la clave de servicio, es posible desencriptar el cupón 1. La información incluida en éste incorpora la clave de sesión 1, para que el servicio de obtención de cupones pueda desencriptar el autenticador. En este punto, se autentica el principal de usuario con el servicio de obtención de cupones.

3. Si la autenticación es satisfactoria, el servicio de obtención de cupones genera una clave de sesión para el principal de usuario y el servidor (clave de sesión 2) y un cupón para el servidor (cupón 2). A continuación, se encriptan la clave de sesión 2 y el cupón 2 mediante la clave de sesión 1. Como ésta sólo la conocen el cliente y el servicio de obtención de cupones, esta información está protegida y se puede enviar de forma segura a través de la red.

4. Cuando el cliente recibe este paquete de información, desencripta la información mediante la clave de sesión 1, que había almacenado en la antememoria de credenciales. El cliente ha obtenido una credencial para utilizarla con el servidor. Ahora, está listo para solicitar el acceso a un servicio determinado del servidor.

Figura 7-3 Obtención de una credencial para un servidor