Tiket otentikasi adalah komponen keamanan dari protokol keamanan jaringan Kerberos.Ini bertindak sebagai token, kumpulan kecil data, disahkan antara komputer klien dan server, sehingga kedua komputer dapat membuktikan identitas satu sama lain.Di luar identifikasi jaringan timbal balik ini, tiket juga merinci izin apa pun yang dimiliki klien untuk mengakses server dan layanannya, serta waktu yang diberikan untuk sesi tersebut.

Pada dasarnya ada dua jenis tiket otentikasi.Tiket yang memberikan tiket (TGT), juga disebut sebagai tiket untuk mendapatkan tiket, adalah tiket utama yang dikeluarkan ketika komputer klien pertama kali menetapkan identitasnya.Jenis tiket ini biasanya berlangsung lama, lebih dari 10 jam atau lebih, dan dapat diperbarui kapan saja selama periode di mana pengguna dicatat ke jaringan.Dengan TGT, pengguna dapat kemudian meminta tiket otentikasi individu untuk mengakses server lain di jaringan.

Tiket klien-ke-server, juga disebut sebagai tiket sesi, adalah bentuk kedua tiket otentikasi.Ini biasanya merupakan tiket berumur pendek yang dibagikan ketika klien ingin mengakses layanan di server tertentu.Tiket sesi berisi alamat jaringan komputer klien, informasi pengguna, dan durasi di mana tiket valid.Dalam beberapa implementasi Kerberos, seperti Microsofts Active Directory , jenis tiket ketiga, yang disebut tiket rujukan, juga dapat digunakan.Jenis tiket ini diberikan ketika klien ingin mengakses server yang berada di domain terpisah dari miliknya.), yang menyediakan seluruh sistem tiket otentikasi.Mesin ini memiliki dua sub-komponen yang berjalan, yang pertama dikenal sebagai server otentikasi (AS).As yang diketahui tentang semua komputer dan pengguna lain di jaringan dan menyimpan database kata sandi mereka.Saat pengguna masuk ke jaringan, AS memberikannya tgt.

Pada titik di mana pengguna perlu mengakses server di suatu tempat di jaringan, ia menggunakan TGT yang diberikan sebelumnya dan meminta tiket layanan dari bagian kedua dariKDC, disebut Server Hibah Tiket (TGS).TGS mengirim tiket sesi kembali ke pengguna, yang kemudian dapat menggunakannya untuk mengakses server yang dia minta.Ketika server menerima tiket sesi, ia mengirim pesan lain kembali ke pengguna memverifikasi identitasnya dan bahwa pengguna diizinkan untuk mengakses layanan yang diminta.Dalam kasus tiket rujukan, langkah tambahan diperlukan di mana KDC domain rumah malah membuat tiket rujukan yang memungkinkan klien untuk meminta tiket sesi dari KDC lain pada domain jaringan yang berbeda.Seluruh produksi tiket dan proses berbagi ini dienkripsi pada setiap langkah di sepanjang jalan untuk melindungi terhadap penyerang yang menguping atau menyamar sebagai pengguna.

Kelemahan utama dari metode tiket otentikasi adalah struktur terpusat dari semua otorisasi.Jika penyerang berhasil mendapatkan akses ke KDC, ia pada dasarnya mendapatkan akses ke semua identitas dan kata sandi pengguna dan kemudian dapat menyamar sebagai siapa pun.Lebih lanjut, jika KDC menjadi tidak tersedia, tidak ada yang akan dapat menggunakan jaringan.Masalah lain adalah siklus hidup terperinci dari tiket, yang mengharuskan semua komputer di jaringan memiliki jam mereka disinkronkan.