Bir kimlik doğrulama bileti, Kerberos ağ güvenliği protokolünün bir güvenlik bileşenidir. Bir istemci bilgisayar ile bir sunucu arasında geçen küçük bir veri toplama aracı gibi işlev görür, böylece iki bilgisayar birbirine kimliğini kanıtlayabilir. Bu karşılıklı ağ kimliğinin ötesinde, bilet ayrıca müşterinin sunucuya ve hizmetlerine erişim için izinlerinin ne olduğu ve oturum için ayrılan bir zamanın ayrıntılarını verir.
Temel olarak iki tür kimlik doğrulama bileti vardır. Bilet almak için bir bilet olarak da adlandırılan bir bilet veren bilet (TGT), istemci bilgisayar kimliğini ilk belirttiğinde verilen birincil bilettir. Bu bilet türü, genellikle 10 veya daha fazla saatten uzun bir süre devam eder ve kullanıcının ağda oturum açtığı herhangi bir zamanda yenilenebilir. Bir TGT ile, kullanıcı daha sonra ağdaki diğer sunuculara erişmek için bireysel kimlik doğrulama bileti talep edebilir.
Oturum bileti olarak da adlandırılan, müşteriden sunucuya bilet, ikinci kimlik doğrulama biletinin şeklidir. Bu genellikle, bir müşteri belirli bir sunucudaki bir servise erişmek istediğinde teslim edilen kısa ömürlü bir bilettir. Oturum bileti, istemci bilgisayarın ağ adresini, kullanıcı bilgilerini ve biletin geçerli olduğu süreyi içerir. Microsoft'un ® Active Directory® gibi bazı Kerberos uygulamalarında, başvuru bileti olarak adlandırılan üçüncü bir bilet türü de kullanılabilir. Bu bilet türü, bir müşteri kendi alanından ayrı bir alanda bulunan bir sunucuya erişmek istediğinde verilir.
Kerberos bilet verme sisteminin çalışma şekli, tüm kimlik doğrulama bilet sistemini sağlayan anahtar dağıtım merkezi (KDC) olarak bilinen ayrı bir sunucunun kullanılmasıdır. Bu makine, ilk olarak kimlik doğrulama sunucusu (AS) olarak bilinen ve çalışan iki alt bileşene sahiptir. AS, ağdaki diğer tüm bilgisayarları ve kullanıcıları tanır ve şifrelerinin bir veritabanını tutar. Bir kullanıcı ağa giriş yaptığında, AS ona bir TGT verir.
Bir kullanıcının ağdaki bir sunucuya erişmesi gereken noktada, daha önce verilen TGT'yi kullanır ve KDC'nin ikinci bölümünden, bilet veren sunucu (TGS) olarak adlandırılan bir servis bileti ister. TGS, tekrar istediği sunucuya erişmek için onu kullanabilen kullanıcıya bir oturum bileti gönderir. Sunucu oturum biletini aldığında, kimliğini doğrulayan kullanıcıya tekrar mesaj gönderir ve kullanıcının istenen servise erişmesine izin verildiğini bildirir. Yönlendirme bileti durumunda, ana alanın KDC'sinin yerine müşterinin farklı bir ağ alanındaki başka bir KDC'den oturum bileti talep etmesine izin veren bir yönlendirme bileti oluşturduğu ilave bir adım gerekir. Tüm bu bilet oluşturma ve paylaşma işlemi, bir saldırganın bir kullanıcı olarak gizlice dinlemesine veya maskelenmesine karşı koruma yolu boyunca her adımda şifrelenir.
Kimlik doğrulama bilet yönteminin birincil sakıncası, tüm yetkilendirmelerin merkezi yapısıdır. Bir saldırgan KDC'ye erişmeyi başarırsa, esasen tüm kullanıcı kimlikleri ve şifrelerine erişim kazanır ve daha sonra kimseyi taklit edebilir. Ayrıca, KDC kullanılamaz hale gelirse, hiç kimse ağı kullanamaz. Diğer bir konu, ağdaki tüm bilgisayarların saatlerinin senkronize edilmesini gerektiren biletlerin detaylı yaşam döngüleridir.
