Ένα εισιτήριο ελέγχου ταυτότητας είναι ένα στοιχείο ασφαλείας του πρωτοκόλλου ασφαλείας δικτύου Kerberos.Λειτουργεί ως ένα συμβολικό, μια μικρή συλλογή δεδομένων, που πέρασε μεταξύ ενός υπολογιστή -πελάτη και ενός διακομιστή, έτσι ώστε οι δύο υπολογιστές να μπορούν να αποδειχθούν ταυτότητα μεταξύ τους.Πέρα από αυτή την ταυτοποίηση αμοιβαίων δικτύων, το εισιτήριο περιγράφει επίσης τα δικαιώματα που έχει ο πελάτης για την πρόσβαση στον διακομιστή και τις υπηρεσίες του, καθώς και έναν χρόνο που διατίθεται για τη σύνοδο.

Υπάρχουν ουσιαστικά δύο τύποι εισιτηρίων ελέγχου ταυτότητας.Ένα εισιτήριο που χορηγεί εισιτήριο (TGT), που αναφέρεται επίσης ως εισιτήριο για την απόκτηση εισιτηρίων, είναι το κύριο εισιτήριο που εκδίδεται όταν ο υπολογιστής -πελάτης δημιουργεί πρώτα την ταυτότητά του.Αυτός ο τύπος εισιτηρίου διαρκεί συνήθως για μεγάλο χρονικό διάστημα, πάνω από 10 ή περισσότερες ώρες, και μπορεί να ανανεωθεί οποτεδήποτε κατά την περίοδο κατά την οποία ο χρήστης έχει συνδεθεί στο δίκτυο.Με ένα TGT, ο χρήστης είναι σε θέση να ζητήσει από τα μεμονωμένα εισιτήρια ελέγχου ταυτότητας για πρόσβαση σε άλλους διακομιστές στο δίκτυο.

Ένα εισιτήριο πελάτη-προς-διακομιστή, το οποίο επίσης αναφέρεται ως εισιτήριο περιόδου σύνδεσης, είναι η δεύτερη μορφή εισιτηρίου ελέγχου ταυτότητας.Αυτό είναι συνήθως ένα βραχύβιο εισιτήριο που εκδίδεται όταν ένας πελάτης επιθυμεί να έχει πρόσβαση σε μια υπηρεσία σε ένα συγκεκριμένο διακομιστή.Το εισιτήριο περιόδου σύνδεσης περιέχει τη διεύθυνση δικτύου υπολογιστών πελάτη, τις πληροφορίες χρήστη και μια διάρκεια στην οποία το εισιτήριο είναι έγκυρο.Σε ορισμένες υλοποιήσεις Kerberos, όπως Microsofts Reg.Active Directory Reg,, μπορεί επίσης να χρησιμοποιηθεί ένα τρίτο είδος εισιτηρίου, που ονομάζεται εισιτήριο παραπομπής.Αυτός ο τύπος εισιτηρίου χορηγείται όταν ένας πελάτης επιθυμεί να αποκτήσει πρόσβαση σε έναν διακομιστή που βρίσκεται σε έναν τομέα ξεχωριστό από τον δικό του.), που παρέχει ολόκληρο το σύστημα εισιτηρίων ελέγχου ταυτότητας.Αυτό το μηχάνημα έχει δύο υπο-συστατικά που τρέχουν, το πρώτο από τα οποία είναι γνωστό ως διακομιστής ελέγχου ταυτότητας (AS).Το όπως γνωρίζει για όλους τους άλλους υπολογιστές και χρήστες στο δίκτυο και διατηρεί μια βάση δεδομένων των κωδικών πρόσβασης.Όταν ένας χρήστης συνδεθεί στο δίκτυο, το AS του χορηγεί ένα TGT.Το KDC, που ονομάζεται διακομιστής χορήγησης εισιτηρίων (TGS).Το TGS στέλνει ένα εισιτήριο περιόδου σύνδεσης πίσω στον χρήστη, ο οποίος στη συνέχεια μπορεί να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στον διακομιστή που ζήτησε.Όταν ο διακομιστής λαμβάνει το εισιτήριο περιόδου σύνδεσης, στέλνει ένα άλλο μήνυμα πίσω στον χρήστη που επαληθεύει την ταυτότητά του και ότι ο χρήστης επιτρέπεται να έχει πρόσβαση στην ζητούμενη υπηρεσία.Στην περίπτωση ενός εισιτηρίου παραπομπής, απαιτείται ένα επιπλέον βήμα όπου το KDC του οικιακού τομέα δημιουργεί ένα εισιτήριο παραπομπής που επιτρέπει στον πελάτη να ζητήσει εισιτήρια περιόδου σύνδεσης από άλλο KDC σε διαφορετικό τομέα δικτύου.Αυτή η ολόκληρη διαδικασία παραγωγής και κοινής χρήσης των εισιτηρίων κρυπτογραφείται σε κάθε βήμα κατά μήκος του δρόμου για να προστατεύσει από έναν επιτιθέμενο υποκινητικό ή να μεταμφιεσθεί ως χρήστης.

Το κύριο μειονέκτημα στη μέθοδο εισιτηρίων ελέγχου ταυτότητας είναι η κεντρική δομή όλων των εξουσιοδοτημένων.Εάν ένας εισβολέας καταφέρνει να αποκτήσει πρόσβαση στο KDC, αποκτά ουσιαστικά πρόσβαση σε όλες τις ταυτότητες και τους κωδικούς πρόσβασης των χρηστών και μπορεί στη συνέχεια να μιμηθεί κανέναν.Επιπλέον, εάν το KDC δεν είναι διαθέσιμο, κανείς δεν θα μπορούσε να χρησιμοποιήσει το δίκτυο.Ένα άλλο ζήτημα είναι οι λεπτομερείς κύκλοι ζωής των εισιτηρίων, τα οποία απαιτούν όλοι οι υπολογιστές του δικτύου να έχουν συγχρονιστεί τα ρολόγια τους.