인증 티켓은 Kerberos 네트워크 보안 프로토콜의 보안 구성 요소입니다.클라이언트 컴퓨터와 서버 사이에 전달 된 작은 데이터 모음 인 토큰의 역할을하여 두 컴퓨터가 서로 신원을 증명할 수 있습니다.이 뮤추얼 네트워크 식별을 넘어서, 티켓은 고객이 서버 및 서비스에 액세스하기 위해 보유한 권한과 세션에 할당 된 시간에 대해 자세히 설명합니다.티켓을 받기위한 티켓이라고도하는 티켓 부여 티켓 (TGT)은 클라이언트 컴퓨터가 처음 신원을 설정할 때 발행 된 주요 티켓입니다.이 유형의 티켓은 일반적으로 오랫동안 10 시간 이상 지속되며 사용자가 네트워크에 로그인 한 기간 동안 언제든지 갱신 할 수 있습니다.TGT를 사용하면 사용자는 네트워크의 다른 서버에 액세스하기 위해 개별 인증 티켓을 요청할 수 있습니다.session 세션 티켓이라고도하는 클라이언트 대 서버 티켓은 인증 티켓의 두 번째 형태입니다.이것은 일반적으로 클라이언트가 특정 서버에서 서비스에 액세스하려고 할 때 나눠지는 짧은 티켓입니다.세션 티켓에는 클라이언트 컴퓨터 네트워크 주소, 사용자 정보 및 티켓이 유효한 기간이 포함됩니다.Microsofts Reg와 같은 일부 Kerberos 구현;Active Directory 는 추천 티켓이라고하는 세 번째 유형의 티켓도 사용할 수 있습니다.이 티켓 유형은 클라이언트가 자체와 별도로 도메인에있는 서버에 액세스하려는 경우 부여됩니다.

Kerberos 티켓 부여 시스템이 작동하는 방식은 키 배포 센터 (KDC)로 알려진 별도의 서버를 사용하는 것입니다.), 전체 인증 티켓 시스템을 제공합니다.이 컴퓨터에는 두 개의 하위 구성 요소가 실행 중이며, 첫 번째 컴포넌트는 Authentication Server (AS)라고합니다.AS는 네트워크의 다른 모든 컴퓨터 및 사용자에 대해 알고 있으며 비밀번호 데이터베이스를 유지합니다.사용자가 네트워크에 로그인하면 AS는 사용자가 네트워크 어딘가에 서버에 액세스 해야하는 시점에서 Tgt.KDC는 티켓 부여 서버 (TGS)라고합니다.TGS는 세션 티켓을 사용자에게 다시 보낸 다음 요청한 서버에 액세스하는 데 사용할 수 있습니다.서버가 세션 티켓을 수신하면 다른 메시지를 사용자에게 다시 보내고 신원을 확인하고 사용자가 요청한 서비스에 액세스 할 수 있도록 허용됩니다.추천 티켓의 경우, 홈 도메인의 KDC가 대신 고객이 다른 네트워크 도메인에서 다른 KDC에서 세션 티켓을 요청할 수있는 추천 티켓을 생성하는 경우 추가 단계가 필요합니다.이 전체 티켓 생성 및 공유 프로세스는 사용자로서 공격자 도청 또는 가장 무도회로부터 보호하기위한 모든 단계에서 암호화됩니다.공격자가 KDC에 액세스 할 수있게되면 본질적으로 모든 사용자 신원 및 비밀번호에 액세스 할 수 있으며 누군가를 가장 할 수 있습니다.또한 KDC를 사용할 수 없게되면 아무도 네트워크를 사용할 수 없습니다.또 다른 문제는 티켓의 상세한 수명주기입니다. 네트워크의 모든 컴퓨터에 시계가 동기화되어야합니다.