後続の認証

クライアントが初期認証を受け取ると、各認証は次の図のように実行されます。

図 13–2 サービスへのアクセスを取得する

1. クライアントは、特定のサービス (別のマシンに rlogin するなど) のチケットを KDC に要求するために、識別情報の証拠として自身の TGT を KDC に送信します。

2. KDC は、そのサービスのチケットをクライアントに送信します。

   たとえば、ユーザー joe が、必要とする krb5 認証と共有関係にある NFS ファイルシステムにアクセスするとします。このユーザーはすでに認証されている (すでに TGT を持っている) ため、そのファイルにアクセスを試みると、NFS クライアントシステムは NFS サービスのチケットを KDC から自動的および透過的に取得します。

   たとえば、ユーザー joe がサーバー boston 上で rlogin を使用するとします。このユーザーはすでに認証されている (つまり、すでにチケット認可チケットを持っている) ため、rlogin コマンドの一部として自動的かつ透過的にチケットを取得します。このチケットが期限切れになるまで、このユーザーは必要に応じて boston に rlogin できます。 joe がマシン denver に rlogin する場合は、手順 1 の方法で別のチケットを入手します。

3. クライアントはサーバーにチケットを送信します。

   NFS サービスを使用している場合、NFS クライアントは自動的および透過的に NFS サービスのチケットを NFS サーバーに送信します。

4. サーバーはクライアントにアクセス権を許可します。

これらの手順では、サーバーと KDC 間の通信は発生していないように見えます。しかし、サーバーは KDC と通信していて、最初のクライアントと同様に、KDC に自身を登録しています。わかりやすくするために、その部分は省略しています。