在客戶端收到初始的辯證之後,其後的每一個辯證都會依照 圖 1-2 中所示的樣式進行﹕
客戶端向 KDC 要求一項特定服務的許可證(如 rlogin 登入另一個機器),將其能賦予許可證的許可證送給 KDC 以作為身份證明。
然後 KDC 便會將該特定服務的許可證傳送給客戶端。
例如,假設使用者 joe 在伺服器 boston 之上使用 rlogin。因為他已經被辯證過了(亦即他已經擁有一張能賦予許可證的許可證),作為 rlogin 指令的一部份,他會自動並且顯而易見地取得一張許可證。此許可證可以讓他持續 rlogin 登入 boston 好幾次,直到到期為止。如果 joe 想要 rlogin 登入機器 denver 中,他可以如步驟 1 中所述的方式來取得另一張許可證。
客戶端會將許可證傳送給伺服器。
伺服器會允許客戶端的存取。
您可能會注意到在這些步驟中,伺服器似乎並未與 KDC 進行任何的通訊。其實伺服器會向 KDC 登錄,就像第一個客戶端一樣,這就是它們之間的通訊。我們在此略過不談。