Bilet uwierzytelniający jest składnikiem zabezpieczeń protokołu zabezpieczeń sieci Kerberos. Działa jak token, niewielki zbiór danych przekazywany między komputerem klienckim a serwerem, dzięki czemu oba komputery mogą wzajemnie potwierdzać swoją tożsamość. Poza tą wzajemną identyfikacją sieci, bilet wyszczególnia również wszelkie uprawnienia, jakie klient ma na dostęp do serwera i jego usług, a także czas przydzielony na sesję.
Zasadniczo istnieją dwa rodzaje biletu uwierzytelniającego. Bilet przyznający bilet (TGT), zwany również biletem umożliwiającym uzyskanie biletów, jest głównym biletem wystawianym, gdy komputer kliencki po raz pierwszy ustala swoją tożsamość. Ten rodzaj biletu zwykle trwa przez długi okres, powyżej 10 lub więcej godzin i można go odnowić w dowolnym momencie w okresie, w którym użytkownik jest zalogowany do sieci. Dzięki biletowi TGT użytkownik może następnie zażądać indywidualnych biletów uwierzytelniających w celu uzyskania dostępu do innych serwerów w sieci.
Bilet klient-serwer, zwany również biletem sesji, jest drugą formą biletu uwierzytelniającego. Jest to zwykle bilet krótkotrwały, który jest rozdawany, gdy klient chce uzyskać dostęp do usługi na określonym serwerze. Bilet sesji zawiera adres sieciowy komputera klienckiego, informacje o użytkowniku oraz okres ważności biletu. W niektórych implementacjach protokołu Kerberos, takich jak Microsoft® Active Directory®, może być również używany trzeci typ biletu, zwany biletem referencyjnym. Ten typ biletu jest przyznawany, gdy klient chce uzyskać dostęp do serwera, który znajduje się w domenie innej niż jego własna.
Sposób działania systemu przyznawania biletów Kerberos polega na wykorzystaniu oddzielnego serwera, zwanego centrum dystrybucji kluczy (KDC), który zapewnia cały system biletów uwierzytelniających. To urządzenie ma dwa działające podkomponenty, z których pierwszy jest znany jako serwer uwierzytelniania (AS). AS wie o wszystkich innych komputerach i użytkownikach w sieci i przechowuje bazę danych ich haseł. Gdy użytkownik loguje się do sieci, AS przyznaje mu bilet TGT.
W momencie, w którym użytkownik potrzebuje dostępu do serwera gdzieś w sieci, korzysta z podanego wcześniej biletu TGT i żąda biletu usługi z drugiej części KDC, zwanej serwerem nadania biletu (TGS). TGS wysyła bilet sesji z powrotem do użytkownika, który może go następnie użyć w celu uzyskania dostępu do żądanego serwera. Gdy serwer odbiera bilet sesji, wysyła kolejną wiadomość z powrotem do użytkownika, weryfikując jego tożsamość i weryfikując, że użytkownik ma dostęp do żądanej usługi. W przypadku biletu skierowania wymagany jest dodatkowy krok, w którym centrum KDC domeny domowej tworzy bilet skierowania, który umożliwia klientowi żądanie biletów sesji z innego centrum KDC w innej domenie sieciowej. Cały ten proces generowania i udostępniania biletów jest szyfrowany na każdym etapie, aby chronić przed podsłuchiwaniem lub podszywaniem się pod użytkownika przez atakującego.
Podstawową wadą metody biletu uwierzytelniającego jest scentralizowana struktura wszystkich autoryzacji. Jeśli atakującemu uda się uzyskać dostęp do KDC, zasadniczo uzyskuje dostęp do wszystkich tożsamości użytkowników i haseł, a następnie może podszywać się pod każdego. Ponadto, jeśli KDC stanie się niedostępne, nikt nie będzie mógł korzystać z sieci. Inną kwestią są szczegółowe cykle życia biletów, które wymagają zsynchronizowania zegarów wszystkich komputerów w sieci.