Un biglietto di autenticazione è un componente di sicurezza del protocollo di sicurezza della rete Kerberos.Agisce come una specie di token, una piccola raccolta di dati, passata tra un computer client e un server, in modo che i due computer possano dimostrare l'identità reciproca.Al di là di questa identificazione reciproca della rete, il ticket descrive anche le autorizzazioni che il client ha per accedere al server e ai suoi servizi, nonché un tempo assegnato per la sessione.

Esistono essenzialmente due tipi di ticket di autenticazione.Un biglietto che concede il biglietto (TGT), anche indicato come biglietto per ottenere i biglietti, è il biglietto principale emesso quando il computer del cliente stabilisce per la prima volta la sua identità.Questo tipo di biglietto dura in genere per un lungo periodo, oltre 10 o più ore e può essere rinnovato in qualsiasi momento durante il periodo in cui l'utente viene effettuato l'accesso alla rete.Con un TGT, l'utente è in grado di richiedere i singoli biglietti di autenticazione per accedere ad altri server sulla rete.

Un ticket client-server, anche indicato come ticket di sessione, è la seconda forma di ticket di autenticazione.Questo è in genere un biglietto di breve durata che viene distribuito quando un cliente desidera accedere a un servizio su un determinato server.Il ticket di sessione contiene l'indirizzo di rete dei computer client, le informazioni dell'utente e una durata in cui il ticket è valido.In alcune implementazioni di Kerberos, come Microsoft e Reg;Active Directory , un terzo tipo di biglietto, chiamato biglietto di riferimento, può anche essere utilizzato.Questo tipo di ticket è concesso quando un client desidera accedere a un server che risiede su un dominio separato dal proprio.

Il modo in cui funziona il sistema di concessione del biglietto Kerberos è attraverso l'uso di un server separato, noto come Centro di distribuzione delle chiavi (KDC), che fornisce l'intero sistema di biglietti di autenticazione.Questa macchina ha due sottocomponenti in esecuzione, il primo dei quali è noto come Server di autenticazione (AS).AS conosce tutti gli altri computer e utenti sulla rete e mantiene un database delle loro password.Quando un utente accede alla rete, come concede un tgt.

Nel punto in cui un utente deve accedere a un server da qualche parte sulla rete, utilizza il TGT fornito in precedenza e richiede un ticket di servizio dalla seconda parte diIl KDC, chiamato Ticket conceding Server (TGS).Il TGS invia un ticket di sessione all'utente, che può quindi usarlo per accedere al server richiesto.Quando il server riceve il ticket di sessione, invia un altro messaggio all'utente che verifica la propria identità e che l'utente è autorizzato ad accedere al servizio richiesto.Nel caso di un ticket di riferimento, è richiesto un passo in più in cui il KDC del dominio di casa crea invece un ticket di riferimento che consente al cliente di richiedere i biglietti di sessione da un altro KDC su un diverso dominio di rete.L'intero processo di generazione e condivisione dei biglietti è crittografato ad ogni passaggio lungo la strada per proteggere da un aggressore che interrompe o si maschera come utente.

Il principale svantaggio del metodo del biglietto di autenticazione è la struttura centralizzata di tutte le autorizzazioni.Se un utente malintenzionato riesce ad avere accesso al KDC, essenzialmente ottiene l'accesso a tutte le identità e le password degli utenti e può quindi impersonare chiunque.Inoltre, se il KDC dovesse diventare non disponibile, nessuno sarebbe in grado di utilizzare la rete.Un altro problema sono i cicli di vita dettagliati dei biglietti, che richiedono che tutti i computer sulla rete abbiano i loro orologi sincronizzati.