Tiket otentikasi adalah komponen keamanan dari protokol keamanan jaringan Kerberos. Ini bertindak sebagai semacam token, kumpulan kecil data, yang dikirimkan antara komputer klien dan server, sehingga kedua komputer dapat membuktikan identitas satu sama lain. Di luar identifikasi jaringan bersama ini, tiket juga merinci izin apa pun yang dimiliki klien untuk mengakses server dan layanannya, serta waktu yang dialokasikan untuk sesi tersebut.
Pada dasarnya ada dua jenis tiket otentikasi. Tiket pemberian tiket (TGT), juga disebut sebagai tiket untuk mendapatkan tiket, adalah tiket utama yang dikeluarkan ketika komputer klien pertama kali menetapkan identitasnya. Jenis tiket ini biasanya bertahan untuk waktu yang lama, lebih dari 10 jam atau lebih, dan dapat diperbarui kapan saja selama periode di mana pengguna masuk ke jaringan. Dengan TGT, pengguna kemudian dapat meminta tiket otentikasi individu untuk mengakses server lain di jaringan.
Tiket klien-ke-server, juga disebut sebagai tiket sesi, adalah bentuk kedua dari tiket otentikasi. Ini biasanya tiket berumur pendek yang dibagikan ketika klien ingin mengakses layanan di server tertentu. Tiket sesi berisi alamat jaringan komputer klien, informasi pengguna, dan durasi berlakunya tiket. Dalam beberapa implementasi Kerberos, seperti Microsoft® Active Directory®, jenis tiket ketiga, yang disebut tiket rujukan, juga dapat digunakan. Jenis tiket ini diberikan ketika klien ingin mengakses server yang berada di domain yang terpisah dari miliknya.
Cara kerja sistem pemberian tiket Kerberos adalah melalui penggunaan server terpisah, yang dikenal sebagai pusat distribusi kunci (KDC), yang menyediakan seluruh sistem tiket otentikasi. Mesin ini memiliki dua sub-komponen yang berjalan, yang pertama dikenal sebagai server otentikasi (AS). AS mengetahui tentang semua komputer dan pengguna lain di jaringan dan menyimpan basis data kata sandi mereka. Saat pengguna masuk ke jaringan, AS memberinya TGT.
Pada titik di mana pengguna perlu mengakses server di suatu tempat di jaringan, ia menggunakan TGT yang diberikan sebelumnya dan meminta tiket layanan dari bagian kedua KDC, yang disebut server pemberian tiket (TGS). TGS mengirimkan tiket sesi kembali ke pengguna, yang kemudian dapat menggunakannya untuk mengakses server yang dimintanya. Ketika server menerima tiket sesi, ia mengirim pesan lain kembali ke pengguna yang memverifikasi identitasnya dan bahwa pengguna diizinkan untuk mengakses layanan yang diminta. Dalam kasus tiket rujukan, langkah ekstra diperlukan di mana KDC dari domain asal malah membuat tiket rujukan yang memungkinkan klien untuk meminta tiket sesi dari KDC lain di domain jaringan yang berbeda. Seluruh proses pembuatan dan pembagian tiket ini dienkripsi pada setiap langkah di sepanjang jalan untuk melindungi dari penyerang yang menguping atau menyamar sebagai pengguna.
Kelemahan utama metode tiket otentikasi adalah struktur terpusat dari semua otorisasi. Jika penyerang berhasil mendapatkan akses ke KDC, dia pada dasarnya mendapatkan akses ke semua identitas pengguna dan kata sandi dan kemudian dapat menyamar sebagai siapa pun. Selanjutnya, jika KDC tidak tersedia, tidak seorang pun dapat menggunakan jaringan. Masalah lainnya adalah siklus hidup tiket yang terperinci, yang mengharuskan semua komputer di jaringan memiliki jam yang disinkronkan.