客户机收到初始验证后,每个后续验证都按下图所示的模式进行。
图 2-2 使用 Kerberos 验证获取对服务的访问权
客户机通过向 KDC 发送其票证授予票证作为身份证明,从 KDC 请求特定服务(例如,远程登录到另一台计算机)的票证。
KDC 将该特定服务的票证发送到客户机。
假设用户 jdoe 要访问一个 NFS 文件系统,该文件系统已通过所要求的 krb5 验证共享。由于 jdoe 已经通过验证(也就是说,jdoe 已经拥有票证授予票证),因此当 jdoe 尝试访问文件时,NFS 客户机系统将自动以透明方式从 KDC 获取 NFS 服务的票证。要使用其他基于 Kerberos 的服务,jdoe 需要获取另一个票证,如步骤 1 中所述。
客户机将票证发送到服务器。
使用 NFS 服务时,NFS 客户机会自动透明地将 NFS 服务的票证发送到 NFS 服务器。
服务器允许此客户机进行访问。
虽然这些步骤意味着服务器从不与 KDC 通信,但服务器确实会像第一个客户机那样向 KDC 注册自身。为了简洁起见,已省略该节。