Login

Inicialmente el cliente C (en este caso el usuario a través del programa login) necesita obtener las credenciales necesarias para acceder a otros servicios. Para ello cuando un usuario conecta a un sistema Unix `kerberizado' teclea en primer lugar su nombre de usuario, de la misma forma que en un sistema habitual; la diferencia está en que el programa login envía el nombre de usuario al servidor de autenticación de Kerberos para solicitar un ticket que le permita comunicarse posteriormente con el servidor de tickets, TGS:

Si el usuario es conocido, el servidor de autenticación retorna un mensaje que contiene una clave para la comunicación con TGS y un timestamp cifrado con la clave secreta del cliente, junto un ticket para la comunicación con TGS cifrado con la clave secreta de este servidor:

El programa de login intentará descifrar , con la clave que el usuario proporciona, y si ésta es correcta podrá obtener y : un cliente sólo podrá descifrar esta parte del mensaje si conoce su clave secreta, (en este caso el password). Una vez obtenida , la clave para comunicar al cliente con el servidor de tickets, el programa passwd la guarda para una posterior comunicación con el TGS y borra la clave del usuario de memoria, ya que el ticket será suficiente para autenticar al cliente; este modelo consigue que el password nunca viaje por la red.