为票券授予服务获得一个资格

1. 为了启动鉴别步骤，客户机为一个具体的用户授权对象发送一个请求到鉴别服务器。该请求未经加密就被发送。请求中没有包含安全信息，因而没有必要使用加密。

2. 当请求被鉴别服务收到时，就在 KDC 数据库中检索用户的授权对象名称。如果有一个授权对象与之匹配，鉴别服务就为该授权对象获得私有密钥。鉴别服务然后就生成一个对话密钥，为客户机和票券授予服务所用 (称之为对话密钥 1)，以及一个用于票券授予服务的票券 (票券 1)。该票券也称作具有票券授予权的票券 (TGT)。对话密钥和票券两者均使用用户的私有密钥进行过加密，而信息被发回到客户机。

3. 客户机使用该信息来为对话密钥 1 和票券 1 解密，使用的是针对用户授权对象的私有密钥。因为私有密钥应当只为用户和 KDC 数据库所知晓，包中的信息应当是安全的。客户机将信息存储在资格高速缓存中。

通常在这个过程中，用户被提示录入其口令。如果其所录入的口令与用于建立存储在 KDC 数据库中的私有密钥的那个口令相同，则客户机可以成功地为鉴别服务所发送的信息解密。现在客户机拥有一个资格，可以用于票券授予服务。客户机已作好准备，可以为一个服务器请求一个资格了。

图形 7-2 为票券授予服务获得一个资格