Bilet uwierzytelniający jest elementem bezpieczeństwa protokołu bezpieczeństwa sieci Kerberos.Działa jak token, niewielki zbiór danych, przekazywany między komputerem klienckim a serwerem, dzięki czemu dwa komputery mogłyby się nawzajem udowodnić.Oprócz tej wzajemnej identyfikacji sieci bilet szczegółowo opisuje również wszelkie uprawnienia, jakie klient ma dostęp do serwera i jego usług, a także czas wyznaczony na sesję.

Istnieją zasadniczo dwa rodzaje biletu na uwierzytelnianie.Bilet na bilet na bilet (TGT), zwany również biletem na uzyskanie biletów, jest biletem podstawowym wydanym, gdy komputer klienta po raz pierwszy ustanawia swoją tożsamość.Ten rodzaj biletu zwykle trwa długi okres, ponad 10 lub więcej godzin, i można go odnawiać w dowolnym momencie w okresie, w którym użytkownik jest zalogowany do sieci.Dzięki TGT użytkownik może następnie poprosić o poszczególne bilety uwierzytelniające, aby uzyskać dostęp do innych serwerów w sieci.

bilet na serwer klientów, zwany również biletem sesji, jest drugą formą biletu na uwierzytelnianie.Jest to zazwyczaj krótkotrwały bilet, który jest przekazywany, gdy klient chce uzyskać dostęp do usługi na określonym serwerze.Bilet sesji zawiera adres sieciowy Client Computers, informacje o użytkowniku i czas, w którym bilet jest ważny.W niektórych implementacjach Kerberos, takich jak Microsofts Można również użyć Active Directory , trzeci rodzaj biletu, zwany biletem polecającym.Ten typ biletu jest przyznawany, gdy klient chce uzyskać dostęp do serwera, który znajduje się w domenie oddzielnej od własnej.

Sposób, w jaki działa system przyznania biletów Kerberos, jest korzystanie z osobnego serwera, znanego jako kluczowe centrum dystrybucji (KDC), który zapewnia cały system biletów uwierzytelniania.Ten komputer ma dwa elementy podrzędne, z których pierwszy jest znany jako serwer uwierzytelniania (AS).AS wie o wszystkich innych komputerach i użytkownikach w sieci i prowadzi bazę danych swoich haseł.Kiedy użytkownik loguje się do sieci, AS zapewnia mu TGT.KDC, nazwał serwer dotacji biletów (TGS).TGS wysyła bilet sesji z powrotem do użytkownika, który może użyć go do uzyskania dostępu do żądanego serwera.Gdy serwer odbiera bilet sesji, wysyła kolejną wiadomość z powrotem do użytkownika weryfikującą jego tożsamość i że użytkownik może uzyskać dostęp do żądanej usługi.W przypadku biletu na polecenie wymagany jest dodatkowy etap, w którym KDC domeny domowej tworzy bilet na polecenie, który pozwala klientowi żądać biletów sesji z innej KDC w innej domenie sieci.Cały ten proces generowania biletów i udostępniania jest szyfrowany na każdym kroku w celu ochrony przed atakującym podgapieniem lub udawaniem jako użytkownika.

Podstawową wadą metody biletu uwierzytelniania jest scentralizowana struktura wszystkich zezwoleń.Jeśli atakującemu udaje się uzyskać dostęp do KDC, zasadniczo uzyskuje dostęp do wszystkich tożsamości i haseł użytkownika, a następnie może podszywać się pod każdym.Ponadto, jeśli KDC stanie się niedostępny, nikt nie byłby w stanie korzystać z sieci.Innym problemem są szczegółowe cykle życia biletów, które wymagają, aby wszystkie komputery w sieci miały synchronizowane zegar.