클라이언트/서버 Exchange

사용자에게 서버에 대한 티켓이 있으면 워크스테이션 클라이언트는 해당 서버와 보안 통신 세션을 설정할 수 있습니다.

서버와 보안 통신 세션을 설정하려면

1. 클라이언트는 KRB_AP_REQ 형식의 메시지를 서버에 보냅니다(Kerberos 애플리케이션 요청). 이 메시지에는 서버와 세션에 대해 KDC( 키 배포 센터 )에서 보낸 키, 서버와 세션 티켓 및 클라이언트가 상호 인증을 요청하는지 여부를 나타내는 플래그로 암호화된 인증자 메시지가 포함되어 있습니다. 상호 인증을 요청하는 플래그를 설정하는 것은 Kerberos 구성의 옵션 중 하나입니다. 사용자는 상호 인증을 사용해야 하는지 여부를 묻지 않습니다.
2. 서버는 KRB_AP_REQ 수신하고, 티켓의 암호를 해독하고, 사용자의 권한 부여 데이터와 세션 키를 추출합니다.
3. 서버는 티켓의 세션 키를 사용하여 사용자의 인증자 메시지의 암호를 해독하고 내부의 타임스탬프를 평가합니다.
4. 인증자 메시지가 유효한 경우 서버는 클라이언트의 요청에서 상호 인증 플래그를 확인합니다.
5. 상호 인증 플래그가 설정된 경우 서버는 세션 키를 사용하여 사용자의 인증자 메시지에서 시간을 암호화하고 결과를 KRB_AP_REP 형식의 메시지(Kerberos 애플리케이션 회신)로 반환합니다.
6. 클라이언트가 KRB_AP_REP 받으면 서버와 공유하는 세션 키로 서버의 인증자 메시지의 암호를 해독하고 서비스에서 보낸 시간과 원래 인증자 메시지의 시간을 비교합니다. 일치하는 경우 클라이언트는 서비스가 정품이며 연결이 진행된다는 것을 보장합니다.