L'autenticazione Kerberos si svolge in due fasi: un'autenticazione iniziale che permette tutte le autenticazioni successive, e le autenticazioni successive.
La Figura 1-1, illustra lo svolgimento dell'autenticazione iniziale:
Un client (un utente o un servizio, ad esempio NFS) inizia una sessione SEAM richiedendo un ticket-granting ticket (TGT) al Key Distribution Center. Questa operazione si svolge in genere automaticamente al momento del login.
Il TGT è necessario per ottenere altri ticket per servizi specifici. Come analogia, si può pensare al TGT come a un passaporto. Come un passaporto, infatti, il TGT identifica l'utente e gli permette di ottenere vari "visti" -- in questo caso, i "visti" (ticket) non servono per accedere a paesi esteri ma per utilizzare servizi di rete o sistemi remoti. Come i passaporti e i visti, il TGT e gli altri ticket hanno una durata limitata. La differenza consiste nel fatto che i comandi basati su Kerberos rilevano la presenza di un passaporto e ottengono i visti automaticamente per l'utente -- che quindi non deve eseguire le transazioni di richiesta direttamente.
Il KDC crea un TGT e lo restituisce, in forma cifrata, al client. Il client decifra il TGT utilizzando la sua password.
In possesso di un TGT valido, il client può ora richiedere altri ticket per tutti i tipi di operazioni di rete, come rlogin o telnet, per tutta la durata del TGT. Tale durata è normalmente di alcune ore. Ogni volta che il client esegue un'operazione di rete di un nuovo tipo, di fatto esso richiede un ticket per quell'operazione al KDC.