Kerberos Kommunikationsablauf

1. Authentication Service Request (AS_REQ) Der Client sendet dem KDC seinen User Principal. Der User Principal entspricht dem Benutzernamen. Der KDC prüft, ob er diesen User Principal kennt. Wenn er diesen kennt, folgt Schritt 2.

2. Authentication Service Reply (AS_REP) Der KDC sendet dem Client zwei Informationsblöcke. Teil 1: Client-Teil Teil 2: Ticket-Granting-Ticket Diese zwei Teile sind verschlüsselt. Der Client-Teil ist verschlüsselt durch den Hashwert des Passworts des Benutzers. Das TGT ist durch das KDC Passwort verschlüsselt. Der Client-Teil kann mit dem Hash des (richtig) eingegebenen Passworts entschlüsselt werden und enthält den Session-Key. Das TGT kann nicht vom Client entschlüsselt und somit auch nicht verändert werden.

3. Ticket Granting Server Request (TGS_REQ) Der Client sendet dem KDC drei Informationen. Teil 1: Service Name Teil 2: Ticket-Granting-Ticket (immernoch verschlüsselt) Teil 3: Authenticator (User Principal) Der Service Name und der Authenticator sind mit dem Session-Key verschlüsselt. Das TGT ist (immernoch) verschlüsselt mit dem Passwort des KDC und wird unverändert gesendet. Der KDC kann das TGT mit seinem Passwort entschlüsseln und entnimmt daraus den Session-Key. Mit dem Session-Key entschlüsselt er den Authenticator und sieht ob der Client mit dem richtigen Session-Key verschlüsselt hat.

4. Ticket Granting Server Reply (TGS_REP) Der KDC sendet dem Client zwei Teile. Teil 1: Service-Ticket Teil 2: Client-Ticket Das Service-Ticket ist mit dem Passwort des Service verschlüsselt und beinhaltet den Service-Session-Key und einen User Principal. Das Client-Ticket ist mit dem Session-Key verschlüsselt und beinhaltet den Service Name und den Service-Session-Key. Der Client kann mit dem Session-Key das Client-Ticket entschlüsseln und entnimmt daraus den Service-Session-Key.

5. Application Server Request (AP_REQ) Der Client sendet dem Server zwei Teile. Teil 1: Authenticator Teil 2: Service-Ticket Der Authenticator ist mit dem Service-Session-Key verschlüsselt. Das Service-Ticket ist (bereits) mit dem Service Passwort verschlüsselt Der Server entschlüsselt das Service-Ticket und entnimmt den Service-Session-Key und entschlüsselt damit den Authenticator.

6. Application Server Reply (AP_REP) Der Server sendet dem Client den Timestamp. Der Timestamp ist mit dem Service-Session-Key, das shared secret, verschlüsselt und bestätigt die erfolgreiche Authentifizierung.