客戶端對收到的報文解密，然后將票據許可票據以及包含用戶名稱、網絡地址和時間的鑒別符發往票據授權服務器TGS，票據授權服務器TGS對票據和鑒別符進行解密，驗證請求，然后生成請求服務許可票據，過程下圖所示。

　　客戶端向TGS發送TGT、需要訪問的服務器名、保證消息新鮮的N，以及用會話密鑰簽名的客戶端認證信息，防止數據在傳輸過程中被篡改。每次客戶端要訪問某服務時，必須首先生成一個新的認證信息（鑒別符）。該信息由客戶端生成，包含客戶端名、主機地址， 以及當前客戶端主機時間，上述信息采用服務許可票據中給出的會話密鑰加密，其結構為Ac,=( c,a ddr,times tamp)K.,.

服務許可票據用于在AS和應用服務器之間安全地傳遞憑據使用者的身份，同時也是將AS對票據使用者的信任轉移給應用服務器。票據包含服務器名、客戶端名、客戶端地址、時間標記、生命期以及一個隨機的會話密鑰，這些信息使用接收票據的服務器與KDC共享的密鑰進行加密，其結構為：T。={s，c，acldr，timestamp，life，K。.）K。。票據一旦發放后，可以被其中指定的客戶端向指定的服務器請求服務時多次使用，直到票據過期為止。

C->TGS：{A。）K..；鼢，{T。.即）K.艫

TGS用K。。驗證了TGT后，獲得會話密鑰和客戶端要訪問的服務器名，從數據庫中獲得服務器密鑰K。后，隨機生成客戶端與服務器之間通信用的會話密鑰和服務許可票據。TGS將客戶與服務器之間使用的新的會話密鑰和N用K。，。。加密后與新的服務許可憑據一起構成消息KRB—TGS—REP，發送給客戶端。

TGS->C:(K。。，N)K。；鄂，(T_.)K. 第三階段：獲得服務