ตั๋วตรวจสอบความถูกต้องเป็นองค์ประกอบความปลอดภัยของโปรโตคอลความปลอดภัยเครือข่าย Kerberosมันทำหน้าที่เป็นบางสิ่งบางอย่างของโทเค็นคอลเลกชันข้อมูลขนาดเล็กที่ผ่านระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์เพื่อให้คอมพิวเตอร์สองเครื่องสามารถพิสูจน์ตัวตนได้นอกเหนือจากการระบุเครือข่ายซึ่งกันและกันนี้แล้วตั๋วยังให้รายละเอียดเกี่ยวกับการอนุญาตที่ลูกค้ามีสำหรับการเข้าถึงเซิร์ฟเวอร์และบริการของ บริษัท รวมถึงเวลาที่กำหนดไว้สำหรับเซสชัน

มีตั๋วตรวจสอบความถูกต้องสองประเภทเป็นหลักตั๋วที่ให้สิทธิ์ตั๋ว (TGT) หรือที่เรียกว่าตั๋วเพื่อรับตั๋วเป็นตั๋วหลักที่ออกเมื่อคอมพิวเตอร์ลูกค้ากำหนดตัวตนเป็นครั้งแรกโดยทั่วไปแล้วตั๋วประเภทนี้จะใช้เวลานานกว่า 10 ชั่วโมงขึ้นไปและสามารถต่ออายุได้ตลอดเวลาในช่วงเวลาที่ผู้ใช้เข้าสู่เครือข่ายด้วย TGT ผู้ใช้สามารถขอตั๋วตรวจสอบความถูกต้องแต่ละรายการเพื่อเข้าถึงเซิร์ฟเวอร์อื่น ๆ บนเครือข่าย

ตั๋วลูกค้าไปยังเซิร์ฟเวอร์หรือที่เรียกว่าตั๋วเซสชันเป็นตั๋วการตรวจสอบรูปแบบที่สองโดยทั่วไปจะเป็นตั๋วระยะสั้นที่ส่งมอบเมื่อลูกค้าต้องการเข้าถึงบริการบนเซิร์ฟเวอร์เฉพาะตั๋วเซสชันประกอบด้วยที่อยู่เครือข่ายคอมพิวเตอร์ไคลเอนต์ข้อมูลผู้ใช้และระยะเวลาที่ตั๋วนั้นถูกต้องในการใช้งาน Kerberos บางอย่างเช่น Microsofts reg;Active Directory reg;, ตั๋วประเภทที่สามที่เรียกว่าตั๋วอ้างอิงสามารถใช้ได้ประเภทตั๋วนี้จะได้รับเมื่อลูกค้าต้องการเข้าถึงเซิร์ฟเวอร์ที่อยู่ในโดเมนแยกจากตัวเอง

วิธีการทำงานของระบบการให้ตั๋ว Kerberos ผ่านการใช้เซิร์ฟเวอร์แยกต่างหากที่เรียกว่าศูนย์กระจายหลัก (KDC) ที่ให้ระบบตั๋วตรวจสอบความถูกต้องทั้งหมดเครื่องนี้มีสององค์ประกอบย่อยที่ทำงานซึ่งเป็นครั้งแรกที่เรียกว่าเซิร์ฟเวอร์การรับรองความถูกต้อง (AS)AS รู้เกี่ยวกับคอมพิวเตอร์และผู้ใช้อื่น ๆ ทั้งหมดในเครือข่ายและเก็บฐานข้อมูลรหัสผ่านเมื่อผู้ใช้เข้าสู่เครือข่าย AS จะมอบ Tgt.

ณ จุดที่ผู้ใช้ต้องการเข้าถึงเซิร์ฟเวอร์ที่ไหนสักแห่งบนเครือข่ายเขาใช้ TGT ที่ได้รับก่อนหน้านี้และขอตั๋วบริการจากส่วนที่สองของKDC เรียกว่าเซิร์ฟเวอร์การให้ตั๋ว (TGS)TGS ส่งตั๋วเซสชันกลับไปยังผู้ใช้ซึ่งสามารถใช้มันเพื่อเข้าถึงเซิร์ฟเวอร์ที่เขาร้องขอเมื่อเซิร์ฟเวอร์ได้รับตั๋วเซสชันมันจะส่งข้อความอื่นกลับไปยังผู้ใช้ที่ตรวจสอบตัวตนของตนและผู้ใช้จะได้รับอนุญาตให้เข้าถึงบริการที่ร้องขอในกรณีของตั๋วอ้างอิงจำเป็นต้องมีขั้นตอนพิเศษที่ KDC ของโดเมนบ้านแทนที่จะสร้างตั๋วอ้างอิงที่อนุญาตให้ลูกค้าขอตั๋วเซสชันจาก KDC อื่นในโดเมนเครือข่ายอื่นการสร้างตั๋วทั้งหมดและกระบวนการแบ่งปันนี้ได้รับการเข้ารหัสในทุกขั้นตอนระหว่างทางเพื่อป้องกันผู้โจมตีที่ดักฟังหรือปลอมตัวเป็นผู้ใช้

ข้อเสียเปรียบหลักของวิธีการตรวจสอบความถูกต้องเป็นโครงสร้างส่วนกลางของการอนุญาตทั้งหมดหากผู้โจมตีสามารถเข้าถึง KDC ได้เขาจะได้รับการเข้าถึงตัวตนและรหัสผ่านของผู้ใช้ทั้งหมดและสามารถปลอมตัวใครได้นอกจากนี้หาก KDC ไม่พร้อมใช้งานไม่มีใครสามารถใช้เครือข่ายได้ปัญหาอีกประการหนึ่งคือวงจรชีวิตโดยละเอียดของตั๋วซึ่งต้องการให้คอมพิวเตอร์ทุกเครื่องในเครือข่ายมีการซิงโครไนซ์นาฬิกา