Использование сервера ресурсов: подпротокол "Обмен данными между клиентом и сервером"
1. Клиент формирует запрос KRB_AP_REQ — Kerberos Application Request, в который он включает свои аутентификационные данные, зашифрованные сессионным ключом для работы с сервером ресурсов, TGS для Данного сервера, а также (опционально) требование произвести взаимную аутентификацию.
2. Клиент отправляет запрос KRB_AP_REQ серверу ресурсов.
3. Сервер ресурсов с помощью своего постоянного ключа извлекает авторизацонные данные для определения прав клиента и сессионный ключ для клиента из TGS, с помощью этого сеансового ключа дешифрует aутентификационные данные клиента и проверяет требование взаимной аутентификации. Если такое требование присутствует, он включает в ответ KRB_AP_REP (Kerberos Application Reply) временную метку, зашифрованную сессионным ключом для клиента.
- Сервер отсылает ответ KRB_AP_REP клиенту.
- Клиент, получив ответ (и проверив метку времени), убеждается в готовности сервера к работе (и его подлинности) и может начать работу с сервером. При этом данные могут шифроваться сессионным ключом либо клиент и сервер могут договориться о другом ключе.