票證授權服務交換

為用戶端建立票證授與票證 (TGT) 和 工作階段金鑰 之後，用戶端可以要求個別的工作階段金鑰和服務票證。

要求另一個服務的票證

1. 使用者工作站上的 Kerberos 用戶端會藉由傳送至金鑰發佈中心 (KDC) 來要求服務的認證，這是 KRB_TGS_REQ (Kerberos Ticket-Granting Service Request) 類型的訊息。 此訊息包含用戶端要求認證的服務身分識別、使用使用者新登入 工作階段金鑰加密的驗證器訊息，以及從 驗證服務 Exchange取得的 TGT。
2. 當 KDC 收到KRB_TGS_REQ時，KDC 會使用其秘密金鑰解密 TGT，並擷取使用者的登入工作階段金鑰。
3. KDC 會使用登入 工作階段金鑰 來解密使用者的驗證器訊息並加以評估。 如果驗證器通過測試，KDC 會從 TGT 擷取使用者的授權資料，併發明工作階段金鑰，讓使用者與要求的伺服器共用。
4. KDC 會使用使用者的登入工作階段金鑰來加密服務工作階段金鑰的一份複本。
5. KDC 會在票證中內嵌另一份服務工作階段金鑰，以及使用者的授權資料，並使用伺服器 的主要金鑰加密票證。
6. KDC 會以 kerberos KRB_TGS_REP (Ticket-Granting 服務回復) 類型的訊息回復，將這些認證傳回給用戶端。
7. 當用戶端收到回復時，它會使用使用者的登入工作階段金鑰解密服務工作階段金鑰，並將服務工作階段金鑰儲存在其票證快取中。
8. 用戶端會將票證擷取至伺服器，並將其儲存在其票證快取中。