クライアント/サーバー Exchange

  • [アーティクル]

ユーザーがサーバーへのチケットを持った後、ワークステーション クライアントは、そのサーバーとのセキュリティで保護された通信セッションを確立できます。

サーバーとのセキュリティで保護された通信セッションを確立するには

  1. クライアントは、KRB_AP_REQ (Kerberos アプリケーション要求) の種類のメッセージをサーバーに送信します。 このメッセージには、サーバーとのセッションの キー配布センター (KDC) によって送信されたキー、サーバーとのセッションのチケット、およびクライアントが相互認証を要求するかどうかを示すフラグで暗号化された認証メッセージが含まれています。 相互認証を要求するフラグの設定は、 Kerberos の構成のオプションの 1 つです。 ユーザーは、相互認証を使用する必要があるかどうかを尋ねられることはありません。
  2. サーバーは、KRB_AP_REQを受信し、チケットの暗号化を解除し、ユーザーの承認データと セッション キーを抽出します。
  3. サーバーはチケットのセッション キーを使用してユーザーの認証メッセージの暗号化を解除し、内部のタイム スタンプを評価します。
  4. 認証メッセージが有効な場合、サーバーはクライアントの要求で相互認証フラグをチェックします。
  5. 相互認証フラグが設定されている場合、サーバーはセッション キーを使用してユーザーの認証メッセージから時刻を暗号化し、結果として KRB_AP_REP 型のメッセージ (Kerberos アプリケーション応答) を返します。
  6. クライアントは、KRB_AP_REPを受信すると、サーバーと共有するセッション キーを使用してサーバーの認証メッセージを復号化し、サービスによって返された時刻と元の認証メッセージの時刻を比較します。 一致する場合、クライアントはサービスが本物であることが保証され、接続が続行されます。