En autentiseringsbiljett är en säkerhetskomponent i Kerberos Network Security Protocol.Det fungerar som något av ett symbol, en liten samling av data, som passerar mellan en klientdator och en server, så att de två datorerna kan bevisa identitet för varandra.Utöver denna ömsesidiga nätverksidentifiering beskriver biljetten också vad som tillåtet klienten har för att komma åt servern och dess tjänster, samt en tid tilldelad för sessionen.

Det finns i huvudsak två typer av autentiseringsbiljett.En biljettbidragsbiljett (TGT), även kallad en biljett för att få biljetter, är den primära biljetten som utfärdas när klientdatorn först fastställer sin identitet.Denna typ av biljett varar vanligtvis under en lång period, upp till 10 eller fler timmar, och kan förnyas när som helst under den period där användaren är inloggad på nätverket.Med en TGT kan användaren sedan begära enskilda autentiseringsbiljetter för att komma åt andra servrar i nätverket.

En kund-till-server-biljett, även kallad en sessionbiljett, är den andra formen av autentiseringsbiljett.Detta är vanligtvis en kortlivad biljett som delas ut när en klient vill komma åt en tjänst på en viss server.Sessionbiljetten innehåller klientdatorernas nätverksadress, användarinformation och en varaktighet där biljetten är giltig.I vissa Kerberos -implementeringar, till exempel Microsofts Active Directory , en tredje typ av biljett, kallad en remissbiljett, kan också användas.Denna biljetttyp beviljas när en klient vill komma åt en server som finns på en domän som är separat från sin egen.), det tillhandahåller hela autentiseringsbiljettsystemet.Den här maskinen har två underkomponenter som körs, varav den första kallas autentiseringsservern (AS).AS vet om alla andra datorer och användare i nätverket och håller en databas med sina lösenord.När en användare loggar in på nätverket, som ger honom en TGT.KDC, kallad biljettbidragsservern (TGS).TGS skickar en sessionbiljett tillbaka till användaren, som sedan kan använda den för att komma åt servern som han begärde.När servern tar emot sessionbiljetten skickar den ett nytt meddelande tillbaka till användaren som verifierar sin identitet och att användaren får komma åt den begärda tjänsten.När det gäller en remissbiljett krävs ett extra steg där KDC för hemdomänen istället skapar en remissbiljett som gör det möjligt för klienten att begära sessionbiljetter från en annan KDC på en annan nätverksdomän.Hela biljettgenererings- och delningsprocessen är krypterad vid varje steg längs vägen för att skydda mot en angripare som avlyssnar eller maskeras som användare.

Den primära nackdelen med autentiseringsbiljettmetoden är den centraliserade strukturen för alla godkännanden.Om en angripare lyckas få tillgång till KDC får han i huvudsak tillgång till alla användaridentiteter och lösenord och kan sedan efterge sig någon.Om KDC skulle bli otillgänglig skulle ingen kunna använda nätverket.En annan fråga är de detaljerade livscyklerna för biljetterna, som kräver att alla datorer i nätverket har sina klockor synkroniserade.