<div dir="ltr"><div>Yes, I already disabled it and found out how the rpc protocol looks like. <br></div><div>I just was wondering if something more is sent.</div><div><br></div><div>For kerberos, I found quite a good description <a href="https://www.roguelynn.com/words/explain-like-im-5-kerberos/" target="_blank">https://www.roguelynn.com/words/explain-like-im-5-kerberos/</a>,
 but it only says that this ticket is then used in communication. So, I 
was wondering how it is used and does any information to client in 
included in messages further after authentication.</div></div><br><div class="gmail_quote"><div dir="ltr">пн, 26 нояб. 2018 г. в 16:02, Michal Privoznik <<a href="mailto:mprivozn@redhat.com">mprivozn@redhat.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 11/26/18 4:51 AM, Anastasiya Ruzhanskaya wrote:<br>
> Hello everyone!<br>
> <br>
> I am trying without any success to decipher traffic from client to server<br>
> in virt-manager in wireshark, but I don't know the sessioon key there, so<br>
> seems no chance to do this.<br>
> <br>
> This is why I want to ask, is any info related to the certificate sent<br>
> through the connection?> Or if I use kerberos protocol for authentication,<br>
> will the user id be sent in every message from client to server? Or only<br>
> during authentication?<br>
<br>
This is not really a libvirt question, but I will try to answer it anyway.<br>
<br>
Firstly, you can use disable TLS and use plain TCP to see libvirt<br>
packets flying by (e.g. qemu+tcp://localhost/system).<br>
<br>
Secondly, TLS is a whole another beast. There is plenty of documentation<br>
on the internet. The server certificate is not transferred, if it was it<br>
wouldn't be trustworthy anyway. Instead, server sends a signed message<br>
and from there and from PKI the client can work out whether the server<br>
really is who they claim to be. There is a bunch of so called<br>
certificate authorities which sign other servers certificates so that<br>
chain of trust can be built. Again, very brief and useless description.<br>
<br>
For Kerberos, the username is sent, however only in the kinit phase. At<br>
this point, the kerberos client gets so called ticket which it then uses<br>
to authenticate to other services (so no username nor password is sent).<br>
<br>
Michal<br>
</blockquote></div>