є квиток ( ticket ) , що містить випадковий ключ сеансу, поточний час KDC , задане політикою час закінчення, і, залежно від параметрів, будь-яку іншу інформацію, збережену в базі даних. У разі Windows 2000 у квитку містяться ідентифікатори SID .
3. Квиток зашифрована з використанням секретного ключа клієнта.
4. Створюється другий квиток, званий квитком сеансу ( session ticket ), що містить ключ сеансу і необов'язкові дані аутентифікації, які зашифровуються з використанням секретного ключа сервера.
5. Сполучені квитки передаються назад клієнту. Серверу аутентифікації немає необхідності явним чином перевіряти справжність клієнта, тому що тільки володіє повноваженнями клієнт може розшифрувати квиток.
6. Після того як клієнт отримав у своє розпорядження допустимий квиток і ключ сеансу для сервера, він ініціює взаємодію безпосередньо з сервером. Для цього клієнт конструює посвідчення ( authenticator ), що складається з поточного часу, імені клієнта, за бажанням - залежну від програми контрольну суму і випадковим чином згенерований початковий н омер послідовності і/або підключ сеансу, використовувані для вилучення унікального ідентифікатора сеансу для необхідної служби. Посвідчення діють тільки для однієї спроби і не можуть застосовуватися повторно або використовуватися в атаках відтворення, тому що вони залежать від поточного часу. Посвідчення шифрується за допомогою ключа сеансу і передається разом з квитком сеансу сервера, у якого запитується служба.
7. Коли сервер отримує квиток від клієнта, він розшифровує квиток сеансу за допомогою загального секретного ключа сервера (якщо існує більше одного ключа, потрібний ключ вказується в частині квитка в простій текстовій формі).
8. Потім сервер витягує з квитка ключ сеансу і використовує його для розшифровки посвідчення. Здатність сервера розшифрувати квиток підтверджує, що він був зашифрований при допомогою секретного ключа сервера, відомого тільки KDC і самому серверу, таким чином, справжність клієнта підтверджується. Посвідчення використовується для гарантії того, що взаємодія недавнє і не є атакою на основі повторного запиту.
Квитки можуть повторно використовуватися протягом періоду, що визначається політикою безпеки домену, але не перевищує восьми годин. Клієнти кешують свої квитки сеансу в безпечному місці, розташованому в оперативної пам'яті, і знищують їх по закінченню терміну дії.
Kerberos скорочує надання квитків, під час першого контакту з клієнтом надаючи квиток сеансу самому собі так само, як і запитуваній сервера. КОС відповідає на цей початковий запит - спочатку надаючи квиток сеансу дл...
