Un billet d'authentification est un composant de sécurité du protocole de sécurité du réseau Kerberos.Il agit comme quelque chose d'un jeton, une petite collection de données, passé entre un ordinateur client et un serveur, afin que les deux ordinateurs puissent se prouver l'identité.Au-delà de cette identification de réseau mutuel, le billet détaille également les autorisations que le client a pour accéder au serveur et à ses services, ainsi que un temps alloué pour la session.

Il existe essentiellement deux types de billet d'authentification.Un billet d'octroi de billets (TGT), également appelé billet pour obtenir des billets, est le billet principal émis lorsque l'ordinateur client établit pour la première fois son identité.Ce type de billet dure généralement une longue période, plus de 10 heures ou plus, et peut être renouvelé à tout moment pendant la période où l'utilisateur est connecté au réseau.Avec un TGT, l'utilisateur est en mesure de demander des billets d'authentification individuels pour accéder à d'autres serveurs sur le réseau.

Un billet client-serveur, également appelé billet de session, est la deuxième forme de billet d'authentification.Il s'agit généralement d'un billet de courte durée qui est distribué lorsqu'un client souhaite accéder à un service sur un serveur particulier.Le billet de session contient l'adresse réseau des ordinateurs du client, les informations de l'utilisateur et une durée dans laquelle le billet est valide.Dans certaines implémentations de Kerberos, telles que Microsofts Active Directory , un troisième type de billet, appelé ticket de référence, peut également être utilisé.Ce type de billette est accordé lorsqu'un client souhaite accéder à un serveur qui réside sur un domaine distinct de son propre.

La façon dont le système d'octroi de billets de Kerberos fonctionne est via l'utilisation d'un serveur séparé, connu sous le nom de centre de distribution de clés (KDC), qui fournit l'intégralité du système de billets d'authentification.Cette machine a deux sous-composants en cours d'exécution, dont le premier est connu sous le nom de serveur d'authentification (AS).L'AM connaît tous les autres ordinateurs et utilisateurs du réseau et conserve une base de données de leurs mots de passe.Lorsqu'un utilisateur se connecte au réseau, le AS lui accorde un TGT.

Au point où un utilisateur doit accéder à un serveur quelque part sur le réseau, il utilise le TGT donné plus tôt et demande un billet de service de la deuxième partie deLe KDC, appelé serveur d'octroi de billets (TGS).Le TGS renvoie un billet de session à l'utilisateur, qui peut ensuite l'utiliser pour accéder au serveur qu'il a demandé.Lorsque le serveur reçoit le billet de session, il renvoie un autre message à l'utilisateur pour vérifier son identité et que l'utilisateur est autorisé à accéder au service demandé.Dans le cas d'un billet de référence, une étape supplémentaire est requise lorsque le KDC du domaine d'accueil crée à la place un billet de référence qui permet au client de demander des billets de session à partir d'un autre KDC sur un autre domaine réseau.Tout ce processus de génération et de partage de billets est crypté à chaque étape sur le chemin pour se protéger contre un attaquant écoutant ou se faire passer pour un utilisateur.

L'inconvénient principal de la méthode des billets d'authentification est la structure centralisée de toutes les autorisations.Si un attaquant parvient à avoir accès au KDC, il a essentiellement accès à toutes les identités et mots de passe des utilisateurs et peut ensuite se faire passer pour n'importe qui.De plus, si le KDC devient indisponible, personne ne pourrait utiliser le réseau.Un autre problème est les cycles de vie détaillés des billets, qui nécessitent que tous les ordinateurs du réseau se soient synchronisés.