后续鉴别

在客户机业已收到初始鉴别之后，每个单个的鉴别就遵循 图形 1-2 中所显示的样式:

图形 1-2 获得对某项服务的访问

1. 客户机为一个具体服务从 KDC 请求一个票券 (比如，为了 rlogin 到另一机器), 向 KDC 发送其具有票券授予权的票券，以证实其身份。

2. KDC 将用于具体服务的票券发送给客户机。

   例如，假设用户 joe 在服务器 boston 上使用 rlogin。因为他业已得到鉴别 (即，他业已拥有一个具有票券授予权的票券), 就作为 rlogin 命令的一部分，自动而透明地获得一个票券。该票券允许他任意 rlogin 到 boston，直到到期。 如果 joe 想要 rlogin 到机器 denver, 他就获得另一票券，就象步骤 1 中那样。

3. 客户机发送票券给服务器。

4. 服务器允许客户机访问。

观察这些步骤，您可能业已注意到服务器似乎没有与 KDC 进行通信。但并非如此; 它借助 KDC 进行自我注册，就象第一个客户机那样。为简单明了起见，我们将这一部分省略掉了。