Init : connexion (mdp ou non), récupération clef de session Kg et ticket (avec TTL) (encrypté avec mdp) ; envoi d’une copie de la clef de session au Ticket granting server (TGS) (cryptage clef partagée par Kerberos et TGS)
Accès service : requête au TGS (ticket, nom du service, paramètres service) cryptée clef de session Kg ; si OK, retour par le TGS d ’un ticket de service encrypté avec une clef partagée Kp par le TGS avec le serveur + clef de session spécifique Ks ; le tout est crypté par la clef de session globale Kg ; enfin, envoi par l’utilisateur au service du ticket de service (contenant Ks) encrypté par Kp + authentificateur (estampille...) crypté avec Ks
