Получение пользователем билета TGT на билеты

Получение пользователем билета TGT на билеты

В начале сеанса регистрации пользователь обращается к сервису аутентификации (Authentication Service - AS) Kerberos за получением билета TGT для ЦРК. Обмен сообщениями с сервисом AS не требует от пользователя А подтверждения своей идентичности. Обмен состоит из двух сообщений: запроса от А и ответа сервиса AS. Запрос содержит просто имя пользователя А, а ответ сервиса AS - сеансовый ключ регистрации S_A и билет TGT, зашифрованные секретным ключом К_A пользователя А. Обычно ключ К_A извлекается из пароля пользователя А, что позволяет пользователю не запоминать двоичный симметричный ключ и обращаться к Kerberos с любой рабочей станции. Билет TGT содержит сеансовый ключ S_A, имя пользователя А и срок действия билета, зашифрованные вместе секретным ключом ЦРК - К_К. В дальнейшем при шифровании сообщений для пользователя А вместо секретного ключа К_A ЦРК использует сеансовый ключ S_A.