Un bilet de autentificare este o componentă de securitate a protocolului de securitate a rețelei Kerberos. Acționează ca un simbol, o mică colecție de date, transmise între un computer client și un server, astfel încât cele două computere să își poată dovedi identitatea unul altuia. Dincolo de această identificare reciprocă a rețelei, biletul detaliază și orice permisiuni pe care clientul le are pentru accesarea serverului și a serviciilor acestuia, precum și timpul alocat pentru sesiune.
Există în esență două tipuri de bilet de autentificare. Un bilet de acordare a biletelor (TGT), denumit și bilet pentru obținerea de bilete, este biletul principal emis atunci când computerul client își stabilește pentru prima dată identitatea. Acest tip de bilet durează de obicei o perioadă lungă, de peste 10 sau mai multe ore și poate fi reînnoit oricând în timpul perioadei în care utilizatorul este conectat la rețea. Cu un TGT, utilizatorul poate solicita apoi bilete de autentificare individuale pentru a accesa alte servere din rețea.
Un bilet de la client la server, denumit și bilet de sesiune, este a doua formă de bilet de autentificare. Acesta este de obicei un bilet de scurtă durată care este înmânat atunci când un client dorește să acceseze un serviciu pe un anumit server. Biletul de sesiune conține adresa de rețea a computerului client, informațiile despre utilizator și o durată în care biletul este valabil. În unele implementări Kerberos, cum ar fi Microsoft® Active Directory®, poate fi folosit și un al treilea tip de bilet, numit bilet de recomandare. Acest tip de bilet este acordat atunci când un client dorește să acceseze un server care rezidă pe un domeniu separat de al său.
Modul în care funcționează sistemul de acordare a biletelor Kerberos este prin utilizarea unui server separat, cunoscut sub numele de centrul de distribuție a cheilor (KDC), care furnizează întregul sistem de bilete de autentificare. Această mașină are două subcomponente care rulează, prima dintre acestea fiind cunoscută sub numele de server de autentificare (AS). AS știe despre toate celelalte computere și utilizatori din rețea și păstrează o bază de date a parolelor lor. Când un utilizator se conectează la rețea, AS îi acordă un TGT.
În momentul în care un utilizator trebuie să acceseze un server undeva în rețea, el folosește TGT-ul dat mai devreme și solicită un bilet de serviciu din a doua parte a KDC, numit server de acordare a biletelor (TGS). TGS trimite înapoi utilizatorului un bilet de sesiune, care îl poate folosi apoi pentru a accesa serverul pe care l-a solicitat. Când serverul primește biletul de sesiune, trimite un alt mesaj înapoi utilizatorului, verificându-i identitatea și că utilizatorul are permisiunea de a accesa serviciul solicitat. În cazul unui bilet de recomandare, este necesar un pas suplimentar în care KDC-ul domeniului de origine creează în schimb un bilet de recomandare care permite clientului să solicite bilete de sesiune de la un alt KDC de pe un alt domeniu de rețea. Întregul proces de generare și partajare a biletelor este criptat la fiecare pas de-a lungul drumului, pentru a se proteja împotriva interceptării cu urechea unui atacator sau mascandu-se ca utilizator.
Principalul dezavantaj al metodei biletului de autentificare este structura centralizată a tuturor autorizațiilor. Dacă un atacator reușește să obțină acces la KDC, el obține, în esență, acces la toate identitățile și parolele de utilizator și apoi poate uzurpa identitatea oricui. În plus, dacă KDC ar deveni indisponibil, nimeni nu ar putea folosi rețeaua. O altă problemă este ciclul de viață detaliat al biletelor, care necesită ca toate computerele din rețea să aibă ceasurile sincronizate.