Sessietickets
In plaats van de versleutelde sessiesleutels naar beide principals te verzenden, verzendt de KDC- zowel de kopieën van de client als de server van de sessiesleutel naar de client. De kopie van de sessiesleutel van de client wordt versleuteld met de hoofdsleutel van de client en kan daarom niet worden ontsleuteld door een andere entiteit. De kopie van de sessiesleutel van de server wordt ingesloten, samen met autorisatiegegevens over de client, in een gegevensstructuur die een ticket wordt genoemd. Het ticket is volledig versleuteld met de hoofdsleutel van de server en kan daarom niet worden gelezen of gewijzigd door de client of een andere entiteit die geen toegang heeft tot de hoofdsleutel van de server. Het is de verantwoordelijkheid van de klant om het ticket veilig op te slaan totdat contact met de server.
Notitie
De KDC biedt alleen een service voor het verlenen van tickets. De client en server zijn verantwoordelijk voor het beveiligen van hun respectieve hoofdsleutels.
Wanneer de client het antwoord van de KDC ontvangt, worden het ticket en een eigen kopie van de sessiesleutel geëxtraheerd, waarbij beide in een beveiligde cache worden opgeslagen. Als u een beveiligde sessie met de server tot stand wilt brengen, verzendt deze de server een bericht dat bestaat uit het ticket, nog steeds versleuteld met de hoofdsleutel van de server en een authenticatorbericht versleuteld met de sessiesleutel. Samen zijn het ticket- en verificatorbericht de referenties van de client aan de server.
Wanneer de server referenties van een client ontvangt, ontsleutelt deze het ticket met de hoofdsleutel, extraheert de sessiesleutelen gebruikt de sessiesleutel om het verificatorbericht van de client te ontsleutelen. Als alles wordt uitgecheckt, weet de server dat de referenties van de client zijn uitgegeven door de KDC, een vertrouwde instantie. Voor wederzijdse verificatie reageert de server door het tijdstempel van het verificatorbericht van de client te versleutelen met behulp van de sessiesleutel. Dit versleutelde bericht wordt naar de client verzonden. De client ontsleutelt vervolgens het bericht. Als het geretourneerde bericht hetzelfde is als het tijdstempel in het oorspronkelijke verificatorbericht, wordt de server geverifieerd.
Als extra voordeel hoeft de server de sessiesleutels die deze gebruikt niet op te slaan bij de clients. Het is de verantwoordelijkheid van elke client om het ticket voor de server in de ticketcache te beheren en dat ticket te presenteren telkens wanneer het de server opent. Wanneer de server een ticket van een client ontvangt, wordt de hoofdsleutel gebruikt om het ticket te ontsleutelen en de sessiesleutel te extraheren. Wanneer de server de sessiesleutel niet meer nodig heeft, wordt de sleutel verwijderd.
De client hoeft geen toegang te krijgen tot de KDC telkens wanneer deze toegang tot deze specifieke server wil. Tickets kunnen opnieuw worden gebruikt. Als voorzorgsmaatregel tegen de mogelijkheid van ticketdiefstal hebben tickets een vervaltijd, opgegeven door de KDC in de ticketstructuur. Hoe lang een ticket geldig is, is afhankelijk van kerberos-beleid voor de realm. Tickets zijn doorgaans niet langer dan acht uur goed, over de lengte van een normale aanmeldingssessie. Wanneer de gebruiker op een clientwerkstation zich afmeldt, wordt de cache van het clientticket leeggemaakt en worden alle tickets en clientsessiesleutels vernietigd.