Een authenticatieticket is een beveiligingscomponent van het Kerberos Network Security Protocol.Het fungeert als iets van een token, een kleine verzameling gegevens, die is doorgegeven tussen een clientcomputer en een server, zodat de twee computers identiteit met elkaar kunnen bewijzen.Naast deze wederzijdse netwerkidentificatie, beschrijft het ticket ook alle machtigingen die de client heeft voor toegang tot de server en de services, evenals een tijd die is toegewezen voor de sessie.

Er zijn in wezen twee soorten authenticatieticket.Een ticket -toekenningsticket (TGT), ook wel een ticket genoemd om tickets te krijgen, is het primaire ticket dat wordt uitgegeven wanneer de klantcomputer voor het eerst zijn identiteit vaststelt.Dit type ticket duurt meestal voor een lange periode, meer dan 10 of meer uren, en kan op elk moment worden verlengd tijdens de periode waarin de gebruiker op het netwerk is ingelogd.Met een TGT kan de gebruiker vervolgens individuele authenticatietickets aanvragen om toegang te krijgen tot andere servers op het netwerk.

Een client-to-server ticket, ook wel een sessieticket genoemd, is de tweede vorm van authenticatieticket.Dit is meestal een kortstondig ticket dat wordt uitgedeeld wanneer een client toegang wil hebben tot een service op een bepaalde server.Het sessieticket bevat het netwerkadres van de clientcomputers, de gebruikersinformatie en een duur waarin het ticket geldig is.In sommige Kerberos -implementaties, zoals Microsofts Active Directory , een derde type ticket, een verwijzingsticket genoemd, kan ook worden gebruikt.Dit tickettype wordt verleend wanneer een client toegang wil hebben tot een server die zich op een domein bevindt, gescheiden van zijn eigen.

De manier waarop het Kerberos -ticketvergunningsysteem werkt, is door het gebruik van een afzonderlijke server, bekend als het belangrijkste distributiecentrum (KDC (KDC), dat het hele authenticatiekaartsysteem biedt.Deze machine heeft twee subcomponenten die worden uitgevoerd, waarvan de eerste bekend staat als de authenticatieserver (AS).De AS weet alle andere computers en gebruikers op het netwerk en houdt een database van hun wachtwoorden bij.Wanneer een gebruiker zich aanmeldt op het netwerk, geeft hij hem een tgt.

op het punt waarop een gebruiker ergens op het netwerk toegang moet krijgenDe KDC, de Ticket Grancing Server (TGS) genoemd.De TGS stuurt een sessieticket terug naar de gebruiker, die deze vervolgens kan gebruiken om toegang te krijgen tot de server die hij heeft gevraagd.Wanneer de server het sessieticket ontvangt, stuurt het een ander bericht terug naar de gebruiker die zijn identiteit verifieert en dat de gebruiker toegang heeft tot de gevraagde service.In het geval van een verwijzingsticket is een extra stap vereist wanneer de KDC van het thuisdomein in plaats daarvan een verwijzingsticket maakt waarmee de klant sessietickets kan aanvragen bij een andere KDC op een ander netwerkdomein.Dit hele ticketgeneratie- en deelproces wordt bij elke stap gecodeerd om te beschermen tegen een aanvaller die als gebruiker afluistert of zich vermomt.

Het primaire nadeel van de authenticatieticketmethode is de gecentraliseerde structuur van alle autorisaties.Als een aanvaller erin slaagt toegang te krijgen tot de KDC, krijgt hij in wezen toegang tot alle gebruikersidentiteiten en wachtwoorden en kan hij zich dan voordoen als iemand.Verder, als de KDC niet beschikbaar is, zou niemand het netwerk kunnen gebruiken.Een ander probleem is de gedetailleerde levenscycli van de tickets, die vereisen dat alle computers op het netwerk hun klokken hebben gesynchroniseerd.