Ověřovací lístek je bezpečnostní součástí protokolu zabezpečení sítě Kerberos.Působí jako něco jako token, malá sbírka dat, předávaných mezi klientským počítačem a serverem, aby tyto dva počítače mohli navzájem prokázat identitu.Kromě této identifikace sítě vzájemné sítě podrobně popisuje jakákoli oprávnění, která má klient pro přístup ke serveru a jeho službám, a také čas přidělený pro relaci.

V podstatě existují dva typy ověřovacích lístků.Vstupenka na lístek (TGT), také označovaný jako lístek na získání vstupenek, je primárním lístkem vydanou, když klientský počítač poprvé stanoví svou identitu.Tento typ lístku obvykle trvá po dlouhou dobu, více než 10 a více hodin, a lze jej kdykoli obnovit během období, kdy je uživatel přihlášen do sítě.S TGT je uživatel schopen požádat o jednotlivé vstupenky na ověření pro přístup k jiným serverům v síti.

Vstupenka na klient-server, také označovaná jako lístek na relace, je druhou formou ověřovacího lístku.Toto je obvykle krátkodobá lístek, který je rozdáván, když si klient přeje získat přístup ke službě na konkrétním serveru.Vstupenka na relace obsahuje adresu sítě klientských počítačů, informace o uživateli a dobu trvání, kdy je lístek platný.V některých implementacích Kerberos, jako jsou Microsofts Lze použít také třetí typ vstupenky a reg;, třetí typ lístku, nazývaný lístek na doporučení.Tento typ vstupenky je udělen, když si klient přeje získat přístup ke serveru, který sídlí v doméně odděleně od vlastní.), který poskytuje celý systém ověřování vstupenek.Tento stroj má spuštěné dvě dílčí komponenty, z nichž první je známý jako autentizační server (AS).AS ví o všech ostatních počítačích a uživatelích v síti a udržuje databázi svých hesel.Když se uživatel přihlásí do sítě, AS mu udělí TGT.KDC, nazýván server Granturing Granturing Licket (TGS).TGS odešle lístek na relaci zpět uživateli, který ji pak může použít k přístupu k serveru, který požadoval.Když server obdrží lístek na relaci, odešle další zprávu zpět uživateli, který ověřuje jeho identitu a že uživateli má přístup k požadované službě.V případě lístku na doporučení je vyžadován další krok, kde místo toho KDC domácí domény vytvoří lístek na doporučení, která umožňuje klientovi vyžádat si vstupenky z jiné KDC v jiné síťové doméně.Celý tento proces generování a sdílení vstupenek je šifrován v každém kroku podél cesty k ochraně před útočníkem odposloucháváním nebo maskováním jako uživatel.Pokud se útočníkovi podaří získat přístup k KDC, v zásadě získá přístup ke všem uživatelským identitům a heslům a pak může někoho vydávat.Dále, pokud by se KDC stala k dispozici, nikdo by síť nemohl používat.Dalším problémem jsou podrobné životní cykly vstupenek, které vyžadují, aby všechny počítače v síti byly synchronizovány hodiny.