Es gibt zwei Arten von Tickets in einem Kerberos-Sicherheitssystem: Teilnehmertickets und Dienstnutzungtickets. Um auf eine kerberisierte Anwendung zugreifen zu können, benötigen Sie zunächst ein Teilnehmerticket.
Teilnehmerticket (Ticket-Granting Ticket oder TGT)
Wenn ein Benutzer einen Dienst anfordert, der eine Kerberos-Authentifizierung erfordert, erzeugt das KDC ein Teilnehmerticket. Dieses Ticket enthält den Benutzernamen des Teilnehmers, die Gültigkeitsdauer des Tickets und einen eindeutigen Sitzungsschlüssel. Alle Angaben im Ticket sind mit dem Hauptschlüssel des KDCs verschlüsselt. Das KDC übermittelt dem Kerberos-Client das Teilnehmerticket zusammen mit einer Kopie des eindeutigen Sitzungsschlüssels, der mit einem vom Kennwort des Benutzers abgeleiteten Schlüssel verschlüsselt ist. Wenn der Kerberos-Client den Sitzungsschlüssel entschlüsseln kann (und nachweist, dass der Benutzer das Kennwort kennt), kann der Client mit dem Sitzungsschlüssel und dem Teilnehmerticket ein Dienstnutzungsticket erhalten.
Wenn Sie ein gültiges Teilnehmerticket erhalten haben, beschafft der Kerberos-Client bei jedem Zugriffsversuch auf eine kerberisierte Anwendung ein Dienstnutzungsticket für diese Anwendung. Während der Gültigkeitsdauer des Teilnehmertickets können Sie sich beliebig oft bei kerberisierten Anwendungen anmelden, ohne dass Sie ein weiteres Teilnehmerticket benötigen.
Erneuerbare Tickets sind spezielle Teilnehmertickets, für die das entsprechende Flag aktiviert wurde. Wenn das Ablaufdatum des Teilnehmertickets näher rückt, kann der Benutzer die Erneuerung des Tickets anfordern. Wenn das Teilnehmerticket verlängerbar ist, sendet das KDC ein neues Teilnehmerticket an den Kerberos-Client. Dieses ist für den Zeitraum gültig, der in der Registerkarte Kerberos des Dialogfelds Sicherheitseigenschaften angegeben ist. Die maximale Anzahl der Erneuerungen und die maximale Gültigkeitsdauer werden vom Systemadministrator des KDCs festgelegt.
Ein weiterleitbares Ticket ist ein Teilnehmerticket, das Sie an einen anderen Host weiterleiten können. Das Abrufen von Dienstnutzungstickets für zusätzliche Dienste ist dann möglich, ohne dass der Authentifizierungsvorgang mit dem KDC wiederholt werden muss. Weitergeleitete Tickets können erneut weitergeleitet werden.
Dienstnutzungs-Ticket (Service Ticket)
Die Clientanwendung muss ein gültiges Dienstnutzungsticket vorweisen, wenn sie auf einen Dienst zugreifen möchte, der eine Kerberos-Authentifizierung erfordert. Wenn der Kerberos-Client eine Anforderung für ein Dienstnutzungsticket zusammen mit einem gültigen Teilnehmerticket sendet, gibt das KDC ein Dienstnutzungsticket aus. Dieses besteht aus dem Benutzernamen des Teilnehmers sowie einem neuen, für die Dauer der Sitzung von Arbeitsplatzrechner und Dienst geltenden Schlüssel; es ist mit dem Hauptschlüssel des Dienstes verschlüsselt. Das KDC sendet das Dienstnutzungsticket mit dem Namen des angeforderten Dienstes und einer Kopie des neuen Sitzungsschlüssels, der mit dem ursprünglichen TGT-Sitzungsschlüssel verschlüsselt wurde, an den Kerberos-Client.
Der Kerberos-Client verwendet den ursprünglichen Schlüssel, um die Nachricht zu entschlüsseln und das Dienstnutzungsticket sowie den neuen Schlüssel abzurufen, die für den Aufbau der Sitzung mit dem Dienst benötigt werden.
Ein Dienstnutzungsticket bleibt in der Regel so lange gültig, wie das Teilnehmerticket gültig ist. Für die Anmeldung bei einem anderen Host und gegebenenfalls auch für den Zugriff auf einen anderen Dienst auf dem gleichen Host ist ein neues Dienstnutzungsticket erforderlich.