Kerberos セキュリティシステムには、発券許可チケットとサービスチケットという 2 種類のチケットがあります。Kerberos 対応アプリケーションへのアクセスを可能にするには、まず発券許可チケット (TGT) を取得する必要があります。
発券許可チケット
Kerberos 認証が必要なサービスに対するアクセスをユーザが要求すると、KDC で TGT が生成されます。TGT は、ユーザのプリンシパル名、チケットの有効期限、固有のセッション鍵で構成され、これらはすべて KDC のマスター鍵で暗号化されています。KDC は、この TGT を固有のセッション鍵のコピーとともに Kerberos クライアントに返します。このセッション鍵は、ユーザのパスワードから得られる鍵を使用して暗号化されています。Kerberos クライアントがセッション鍵を解読できた場合 (ユーザのパスワードが正しいと確認された場合) は、セッション鍵と TGT を使用してサービスチケットを取得できます。
ユーザに有効な TGT が与えられると、 Kerberos クライアントは、発券許可チケットの有効期間を通じて、Kerberos 対応アプリケーションへのアクセスをユーザが要求するたびに、このプリンシパルのサービスチケットを取得します。TGT が有効なかぎり、ユーザは別の TGT を取得しなくても必要な回数だけ Kerberos 対応アプリケーションにログインできます。
更新可能チケットは、特別な TGT であり、チケットの更新が可能であることを示すフラグセットが付いています。TGT の有効期限が間近になると、ユーザはその更新を要求できます。この時、TGT が更新可能であれば、KDC から Kerberos クライアントに新しい TGT が送信されます。新しい TGT の有効期間は、[セキュリティのプロパティ] ダイアログボックスの [Kerberos] タブで指定した期間になります。最長有効期間と最大更新回数は、KDC のシステム管理者が設定します。
転送可能チケットは、別のホストに転送して追加のサービスのサービスチケットを取得できる TGT です。この時、KDC との認証処理を繰り返す必要はありません。一度転送したチケットは、再度転送できます。
サービスチケット
Kerberos 認証が必要なサービスにアクセスできるようにするには、クライアントアプリケーションに有効なサービスチケットが必要です。Kerberos クライアントが有効な TGT を添えてサービスチケット要求を送信すると、KDC がサービスチケットを発行します。サービスチケットは、ユーザのプリンシパル名、このワークステーション向けの新しいセッション鍵、およびこのセッションで使用するサービスで構成され、これらはすべてサービスのマスター鍵で暗号化されます。KDC は、サービスチケットを Kerberos クライアントに返しますが、この時、要求されたサービスの名前と新しいセッション鍵のコピーを元の TGT セッション鍵で暗号化して一緒に返します。
Kerberos クライアントは元のセッション鍵を使用してメッセージを解読し、サービスチケットと鍵を取り出します。この鍵は、サービスとのセッションを確立するために使用します。
通常は、TGT の有効期間中はサービスチケットも有効です。新しいサービスチケットは、別のホストにログインする時や同じホストの別のサービスを要求する時に必要です。