A hitelesítési jegy a Kerberos Network Security Protocol biztonsági eleme.Ez egy tokenként működik, egy kis adatgyűjtés, amelyet egy kliens számítógép és a szerver között adtak át, így a két számítógép igazolhatja az identitást egymásnak.Ezen a kölcsönös hálózati azonosításon túl a jegy részletezi azt is, hogy az ügyfél a szerverhez és annak szolgáltatásaihoz való hozzáféréshez, valamint a munkamenethez kiosztott idővel rendelkezik.

Alapvetően két típusú hitelesítési jegy létezik.Az elsődleges jegy, amelyet az ügyfélszámítógép először létrehozza személyazonossága, amikor az ügyfélszámítógép először létrehozza személyazonossága.Az ilyen típusú jegy általában hosszú ideig tart, legalább 10 órán át, és bármikor megújítható abban az időszakban, amikor a felhasználót a hálózatra naplózza.A TGT segítségével a felhasználó az egyedi hitelesítési jegyeket kérheti a hálózat más szervereinek eléréséhez.

Az ügyfél-szerver jegy, amelyet ülésjegynek is neveznek, a hitelesítési jegy második formája.Ez általában egy rövid élettartamú jegy, amelyet akkor adnak ki, amikor egy ügyfél egy adott szerver szolgáltatáshoz kíván hozzáférni.A munkamenet jegye tartalmazza az ügyfélszámítógépek hálózati címét, a felhasználói információkat és az időtartamot, amelyben a jegy érvényes.Néhány Kerberos -megvalósításban, például a Microsofts Az Active Directory harmadik típusa, az úgynevezett áttételi jegy is használható.Ezt a jegytípust akkor adják meg, amikor egy ügyfél egy szerverhez szeretne hozzáférni, amely a sajátjától elkülönített domainn helyezkedik el.), amely biztosítja a teljes hitelesítési jegyrendszert.Ennek a gépnek két alkomponens fut, amelyek közül az első hitelesítési kiszolgálónak (AS) néven ismert.Az AS ismeri a hálózat összes többi számítógépét és felhasználóját, és megőrzi a jelszavak adatbázisát.Amikor egy felhasználó bejelentkezik a hálózatra, az AS ad neki egy Tgt -t.A KDC, amelyet a jegy odaítélő szervernek (TGS) hívtak.A TGS visszaküldi a munkamenet jegyét a felhasználónak, aki felhasználhatja azt a kért szerver eléréséhez.Amikor a szerver megkapja a munkamenet jegyét, egy másik üzenetet küld vissza a felhasználónak, amely igazolja annak személyazonosságát, és hogy a felhasználó hozzáférhet a kért szolgáltatáshoz.Átutalási jegy esetén extra lépés szükséges, ahol a Homain KDC ehelyett egy áttételi jegyet hoz létre, amely lehetővé teszi az ügyfél számára, hogy egy másik KDC -től munkamenet jegyeket kérjen egy másik hálózati tartományon.Ez a teljes jegygenerációs és megosztási folyamat minden lépésnél titkosítva van, hogy megvédje a támadót, hogy meghallgassa vagy felhasználóként maszkoljon.Ha egy támadónak sikerül hozzáférnie a KDC -hez, alapvetően hozzáférést kap az összes felhasználói identitáshoz és jelszavakhoz, majd mindenkit megszemélyesíthet.Továbbá, ha a KDC nem érhető el, senki sem tudja használni a hálózatot.Egy másik kérdés a jegyek részletes életciklusai, amelyek megkövetelik, hogy a hálózat összes számítógépe szinkronizálja az óráikat.