后续 Kerberos 验证

客户机收到初始验证后，每个后续验证都按下图所示的模式进行。

图 2-2  使用 Kerberos 验证获取对服务的访问权

1. 客户机通过向 KDC 发送其票证授予票证作为身份证明，从 KDC 请求特定服务（例如，远程登录到另一台计算机）的票证。

2. KDC 将该特定服务的票证发送到客户机。

   假设用户 jdoe 要访问一个 NFS 文件系统，该文件系统已通过所要求的 krb5 验证共享。由于 jdoe 已经通过验证（也就是说，jdoe 已经拥有票证授予票证），因此当 jdoe 尝试访问文件时，NFS 客户机系统将自动以透明方式从 KDC 获取 NFS 服务的票证。要使用其他基于 Kerberos 的服务，jdoe 需要获取另一个票证，如步骤 1 中所述。

3. 客户机将票证发送到服务器。

   使用 NFS 服务时，NFS 客户机会自动透明地将 NFS 服务的票证发送到 NFS 服务器。

4. 服务器允许此客户机进行访问。

虽然这些步骤意味着服务器从不与 KDC 通信，但服务器确实会像第一个客户机那样向 KDC 注册自身。为了简洁起见，已省略该节。