Il metodo fin qui descritto funziona fin tanto che sia il client che il server siano registrati sullo stesso Authentication server.
Si definisce REALM l'insieme di users e di servers registrati con un particolare Authentication server.
Per poter permettere l'autenticazione tra REALM differenti è necessario introdurre una session key tra 2 differenti Authetication server detta cross-REALM key. Quando un client vuole autenticarsi ad un server di un altro REALM effettua una richiesta al proprio TGS, quest'ultimo riconosce che la richiesta si riferisce ad un altro REALM e fornisce al client un TGT per la richiesta al TGS remoto (questo TGT sarà cifrato con la chiave condivisa tra i 2 TGS). A questo punto il TGS remoto può autenticare il client e gli fornisce un Ticket per il server.
Si sottolinea la necessità dell'esistenza di una registrazione tra ogni Authentication server, cosa che si rivela inaccettabile su medie o grosse reti quali Internet. Nella versione 5 è stata introdotta una condivisione di chiavi gerarchica ("hierarchical sharing") per limitare il numero di registrazioni da gestire.