Le système de sécurité Kerberos se caractérise par deux types de tickets : les tickets initiaux et les tickets d'accès à des services. Pour accéder à une application sécurisée par Kerberos, vous devez obtenir au préalable un ticket initial (TGT, Ticket-Granting Ticket).
Tickets initiaux (TGT, Ticket-Granting Tickets)
Lorsqu'un utilisateur effectue une demande d'accès à un service soumis à l'authentification Kerberos, le Centre de distribution de clés (KDC, Key Distribution Center) génère un ticket initial qui comprend le nom de principal de l'utilisateur, la durée avant expiration du ticket et une clé de session unique, toutes ces informations étant chiffrées avec la clé principale du KDC. Le Centre de distribution de clés renvoie ce ticket initial au client Kerberos, accompagné d'une copie de la clé de session unique, chiffrée à l'aide d'une clé dérivée du mot de passe de l'utilisateur. Si le client Kerberos réussit à déchiffrer la clé de session (prouvant ainsi que l'utilisateur connaît le mot de passe), il peut utiliser la clé de session et le ticket initial pour obtenir un ticket d'accès à un service.
Une fois qu'un ticket initial valable vous a été accordé, le client Kerberos obtient des tickets d'accès à des services pour ce principal chaque fois que vous sollicitez l'accès à une application sécurisée par Kerberos, au cours de la durée de vie du ticket initial. Tant que ce dernier est en cours de validité, vous pouvez vous connecter aux applications sécurisées par Kerberos aussi souvent que vous le souhaitez, sans obtenir un nouveau ticket initial.
Un ticket renouvelable est un ticket initial particulier comportant un indicateur de renouvellement. L'utilisateur peut demander le renouvellement d'un ticket initial lorsqu'il arrive à expiration. Si le ticket initial est renouvelable, le Centre de distribution de clés envoie au client Kerberos un nouveau ticket initial valable pour la période spécifiée dans l'onglet Kerberos de la boîte de dialogue Propriétés relatives à la sécurité. L'administrateur système du Centre de distribution de clés définit le nombre maximum de renouvellements et la durée de vie maximale de chaque ticket.
Un ticket transférable est un ticket initial que vous pouvez transférer vers un autre hôte et qui vous permet d'obtenir des tickets d'accès à d'autres services sans répéter le processus d'authentification auprès du Centre de distribution de clés (KDC, Key Distribution Center). Un ticket peut être transféré plusieurs fois.
Tickets d'accès à des services
Pour accéder à un service soumis à l'authentification Kerberos, l'application client doit présenter un ticket d'accès à un service valable. Lorsque le client Kerberos envoie une demande de ticket d'accès à un service accompagnée d'un ticket initial valable, le KDC émet un ticket d'accès à un service qui comprend le nom de principal de l'utilisateur, une nouvelle clé de session pour la station de travail et le service à utiliser pour cette session, toutes ces informations étant chiffrées avec la clé principale du service. Le KDC renvoie le ticket d'accès à un service au client Kerberos avec le nom du service demandé et une copie de la nouvelle clé de session, qu'il chiffre avec la clé de session du ticket initial d'origine.
Le client Kerberos utilise la clé de session d'origine pour déchiffrer le message et extraire le ticket d'accès à un service et la clé qu'il va utiliser pour ouvrir une session avec ce service.
Un ticket d'accès à un service est généralement valable pendant toute la durée de vie du ticket initial. Un nouveau ticket d'accès à un service est indispensable pour se connecter à un autre hôte, voire pour utiliser un service différent sur le même hôte.