获取基于 Kerberos 的服务器的凭证

1. 要请求对特定服务器的访问权限，客户机首先必须向验证服务获取该服务器凭证。请参见获取用于票证授予服务的凭证。客户机随后会向票证授予服务发送请求，其中包括服务主体名称、票证 1 和以会话密钥 1 加密的验证者。票证 1 最初是使用票证授予服务的服务密钥，由验证服务进行加密的。

2. 由于票证授予服务的服务密钥对票证授予服务公开，因此可以对票证 1 进行解密。票证 1 中的信息包括会话密钥 1，这样，票证授予服务可以解密验证者。在此情况下，由票证授予服务对用户主体进行验证。

3. 一旦验证成功，票证授予服务会为用户主体和服务器生成会话密钥（称为会话密钥 2），为服务器生成票证（称为票证 2）。然后，会使用会话密钥 1 对会话密钥 2 和票证 2 进行加密。因为会话密钥 1 仅为客户机和票证授予服务所知，因此该信息是安全的，且可以通过网络安全发送。

4. 客户机收到该信息包后，会使用会话密钥 1 解密信息，该密钥储存在凭证高速缓存中。客户机即获取用于服务器的凭证。现在，客户机可以请求访问该服务器中的特定服务。

图 2-6  获取服务器凭证