識別情報を証明するチケットとそれに対応するセッション鍵を提供できる場合は、リモートサービスによってアクセスが許可されます。セッション鍵には、ユーザーやアクセスするサービスに特有の情報が含まれています。ユーザーすべてのチケットとセッション鍵は、ユーザーが最初にログインするときに KDC によって作成されます。チケットとそれに対応するセッション鍵が 1 つの資格となります。複数のネットワークサービスを使用する場合には、ユーザーは多数の資格を収集できます。ユーザーは特定のサーバーで動作するサービスごとに 1 つの資格を必要とします。たとえば、boston という名前のサーバー上の nfs サービスにアクセスするには 1 つの資格が必要です。別のサーバー上の nfs サービスにアクセスするには、別の資格が必要です。
特定のサーバー上の特定のサービスにアクセスする場合、ユーザーは 2 つの資格を取得する必要があります。最初の資格は、チケット認可チケット (TGT) のためです。チケット認可サービスは、この資格の暗号を解除すると、ユーザーからアクセスを要求されているサーバーの資格をさらに作成します。ユーザーは、この 2 つめの資格を使用してサーバー上のサービスへのアクセスを要求します。サーバーがこの資格の暗号を解除すると、ユーザーはアクセスを許可されます。
資格を作成して格納するプロセスは透過的です。資格は KDC によって作成され、要求者に送信されます。資格は、受信されると資格キャッシュに格納されます。