如果能够提供证明身份的票证和匹配的会话密钥,则允许访问远程服务。会话密钥包含特定于用户以及要访问的服务的信息。所有用户首次登录时,KDC 都会为其创建票证和会话密钥。票证和匹配的会话密钥即组成了凭证。使用多个网络服务时,用户可以收集许多凭证。对于在特定服务器上运行的每个服务,用户都需要拥有一个凭证。例如,访问名为 boston 的服务器上的 nfs 服务需要一个凭证。访问其他服务器上的 nfs 服务需要另外的凭证。
要访问特定服务器上的特定服务,用户必须获取两个凭证。第一个凭证用于票证授予票证 (Ticket Granting Ticket, TGT)。票证授予服务解密此凭证后,该服务即可为用户请求访问的服务器创建第二个凭证。然后,可使用第二个凭证来请求访问该服务器中的相应服务。该服务器成功解密第二个凭证后,便会授予用户访问权限。
创建和存储凭证的过程是透明的。凭证是由将凭证发送到请求程序的 KDC 创建的。收到凭证后,会将其存储在凭证高速缓存中。