Conocer la secuencia de eventos que ocurren durante una autenticación Kerberos puede ayudarle a determinar la causa de los problemas de autenticación.
Una entidad de seguridad solicita un servicio para el que se necesita la autenticación Kerberos. Por ejemplo, un usuario inicia la sesión (un cliente Telnet) y solicita una conexión Telnet a un host llamado telnserv.com.
El servidor de la aplicación (en este caso, el demonio de Telnet situado en el host) solicita la autenticación de la sesión.
El cliente Kerberos comprueba si Kerberos ya dispone de un vale de acceso TGT válido para esta entidad de seguridad. Si no lo posee, el cliente Kerberos solicita un TGT al centro KDC.
El KDC comprueba que la entidad de seguridad y el dominio son válidos y, a continuación, envía un TGT y una clave de sesión al cliente Kerberos.
El cliente Kerberos pide al usuario que introduzca una contraseña. Si coincide con la contraseña que utilizó KDC para cifrar el vale TGT y la clave de sesión, el cliente Kerberos puede descifrar el mensaje y obtener la clave de sesión. (Si la contraseña no es correcta, se mostrará un mensaje de error en la autenticación).
El cliente Kerberos genera la solicitud del servicio originalmente solicitado por el usuario (una conexión Telnet con telnserv.com) y la envía al KDC. Esta solicitud contiene el vale TGT, un autenticador que comprueba la identidad de la entidad de seguridad, y el nombre del servicio que dicha entidad utilizará, todo ello cifrado en la clave de sesión.
El KDC descifra el vale de acceso TGT y luego genera una nueva clave para la sesión entre la estación de trabajo y el servicio (en este caso, entre el cliente Telnet y el demonio de Telnet en telnserv.com) además de un vale de servicio para la conexión Telnet a telnserv.com, que estará cifrada junto con la clave secreta del servicio. Cifra este mensaje utilizando la clave de sesión original y la devuelve al cliente Kerberos.
El cliente Kerberos utiliza la clave de sesión original para extraer el vale de servicio y descifrar la nueva clave de sesión. A continuación, devuelve el control a la sesión.
El cliente Kerberos presenta el vale de servicio al demonio de Telnet. El demonio de Telnet comprueba las credenciales y se autentica a sí mismo a la sesión utilizando la información que ha extraído del vale de servicio. Como el vale de servicio se cifró con la clave secreta del servicio, sólo el servicio para el que se ha generado el vale podrá descifrar dicho vale.
Su sesión se inicia en el host (telnserv.com).