Obtención de una credencial para el servicio de otorgamiento de tickets
-
A fin de iniciar el proceso de autentificación, el cliente envía una solicitud al servidor de autenticación para un principal de usuario específico. Esta solicitud se envía sin cifrado. En la solicitud no se incluye ninguna información que deba permanecer segura, por lo que no es necesario utilizar el cifrado.
-
Una vez que el servicio de autenticación recibe la solicitud, el nombre de principal del usuario se consulta en la base de datos del KDC. Si un principal coincide con la entrada en la base de datos, el servicio de autenticación obtiene la clave privada de ese principal. Luego, el servicio de autenticación genera una clave de sesión que utilizarán el cliente y el servicio de otorgamiento de tickets (Clave de sesión 1) y un ticket para el servicio de otorgamiento de tickets (Ticket 1). A este ticket también se lo conoce como ticket de otorgamiento de tickets (TGT). Tanto la clave de sesión como el ticket se cifran con la clave privada del usuario, y la información se envía de vuelta al cliente.
-
El cliente utiliza esta información para descifrar la Clave de sesión 1 y el Ticket 1 con la clave privada para el principal de usuario. Como únicamente el usuario y la base de datos del KDC deben conocer la clave privada, la información que se encuentra en el paquete debe permanecer segura. El cliente almacena la información en la caché de credenciales.
Durante este proceso, por lo general, al usuario se le solicita una contraseña. Si la contraseña que el usuario especifica es la misma que la que se ha utilizado para crear la clave privada almacenada en la base de datos del KDC, el cliente puede descifrar correctamente la información que envía el servicio de autenticación. A continuación, el cliente tiene una credencial para utilizar con el servicio de otorgamiento de tickets y está listo para solicitar una credencial para un servidor.
Figura 2-5 Obtención de una credencial para el servicio de otorgamiento de tickets
