티켓 부여 서비스에 대한 증명서 획득

1. 인증 프로세스를 시작하려면 클라이언트에서 특정 사용자 주체의 인증 서버에 요청을 보냅니다. 이 요청은 암호화되지 않고 전송됩니다. 이 요청에는 보안에 문제되는 정보가 없으므로 암호화할 필요가 없습니다.

2. 인증 서비스에 의해 요청이 접수되면 KDC 데이터베이스에서 사용자의 주체 이름을 찾습니다. 주체가 일치할 경우 인증 서비스는 해당 주체의 개인 키를 얻어 클라이언트가 사용할 세션 키, 티켓 부여 서비스(세션 키 1), 티켓 부여 서비스의 티켓(티켓 1)을 생성합니다. 이 티켓을 티켓 부여 티켓(TGT)이라고도 합니다. 세션 키와 티켓은 사용자의 개인 키로 암호화되어 클라이언트에게 전송됩니다.

3. 클라이언트는 이 정보와 사용자 주체의 개인 키를 사용하여 세션 키 1과 티켓 1을 해독합니다. 개인 키는 사용자와 KDC 데이터베이스만 알고 있으므로 패킷의 정보는 안전합니다. 클라이언트는 증명서 캐시에 이 정보를 저장합니다.

이 과정에서 보통 사용자의 암호를 입력하라는 메시지가 나타납니다. 입력한 암호가 KDC 데이터베이스에 저장된 개인 키 작성 시 사용된 것과 동일할 경우, 클라이언트는 인증 서비스가 전송한 정보를 해독할 수 있습니다. 이제 클라이언트는 티켓 부여 서비스에서 사용될 증명서가 있으므로 서버에 필요한 증명서를 요청할 수 있습니다.

그림 7-2 티켓 부여 서비스에 대한 증명서 획득