Pour démarrer le processus d'authentification, le client envoie une demande au serveur d'authentification pour un principal d'utilisateur spécifique. Cette demande est envoyée sans chiffrement. Aucune information sécurisée n'est incluse dans la demande, de sorte que le chiffrement est inutile.
Lorsque la demande est reçue par le service d'authentification, le nom de principal de l'utilisateur est recherché dans la base de données KDC. Si un principal correspond à l'entrée dans la base de données, le service d'authentification obtient la clé privée pour ce principal. Le service d'authentification génère ensuite une clé de session utilisable par le client et le service d'octroi de tickets (appelez-la Clé de session 1) et un ticket pour le service d'octroi de tickets (Ticket 1). Ce ticket est également qualifié de ticket d'octroi de tickets (TGT). La clé de session et le ticket sont chiffrés à l'aide de la clé privée de l'utilisateur, et les informations sont renvoyées au client.
Le client utilise ces informations pour déchiffrer la Clé de session 1 et Ticket 1 à l'aide de la clé privée pour le principal de l'utilisateur. Comme la clé privée doit uniquement être connue de l'utilisateur et de la base de données KDC, les informations du paquet doivent être sécurisées. Le client stocke les informations dans le cache d'informations d'identification.
Au cours de ce processus, l'utilisateur est invité à saisir un mot de passe normalement. Si le mot de passe spécifié par l'utilisateur est le même que celui utilisé pour créer la clé privée stockée dans la base de données KDC, alors le client peut déchiffrer les informations envoyées par le service d'authentification. Le client dispose d'informations d'identification à utiliser avec le service d'octroi de tickets et est prêt à demander des informations d'identification pour un serveur.
Figure 2-5 Obtention d'informations d'identification pour le service d'octroi de tickets