为一个服务器获得一个资格

1. 如要请求对一个具体服务器的访问，一个客户机必须首先业已从鉴别服务，为该服务器获得一个资格 (请参见"为票券授予服务获得一个资格")。然后客户机发送一个请求到票券授予服务，其中包括服务授权对象名称，票券 1, 和一个借助对话密钥 1 加密过的鉴别符。票券 1 原来由鉴别服务使用票券授予服务的服务密钥进行过加密。

2. 因为票券授予服务的服务密钥为票券授予服务所知晓，票券 1 可以得到解密。票券 1 中所包含的信息包括对话密钥 1，因而票券授予服务可以为鉴别符解密。此时此刻，用户授权对象得到票券授予服务的鉴别。

3. 一旦鉴别成功，票券授予服务就为用户授权对象和服务器生成一个对话密钥 (对话密钥 2)，为服务器生成一个票券 (票券 2)。然后使用对话密钥 1，对话密钥 2 和票券 2 进行加密。因为对话密钥 1 只为客户机和票券授予服务所知晓，该信息是安全的，可以跨越网络安全地进行设定。

4. 当客户机接收到该信息包时，它就使用对话密钥 1 为信息解密，而该密钥是其业已存储在资格高速缓存中的。客户机业已获得一个可以用于服务器的资格。现在，客户机已作好准备，可以请求到该服务器上的一个具体服务的访问了。

图形 7-3 为一个服务器获得一个资格