Autentifikavimo bilietas yra „Kerberos“ tinklo saugos protokolo saugos komponentas. Jis veikia kaip ženklas, nedidelis duomenų rinkinys, perduodamas tarp kliento kompiuterio ir serverio, kad du kompiuteriai galėtų vienas kitam įrodyti tapatybę. Be šio abipusio tinklo identifikavimo, biliete taip pat nurodoma, kokius leidimus klientas turi pasiekti serverį ir jo paslaugas, taip pat seansui skirtą laiką.
Iš esmės yra dviejų tipų autentifikavimo bilietai. Bilieto išdavimo bilietas (TGT), taip pat vadinamas bilietu gauti bilietus, yra pagrindinis bilietas, išduodamas, kai kliento kompiuteris pirmą kartą nustato savo tapatybę. Šio tipo bilietas paprastai galioja ilgą laiką, iki 10 ar daugiau valandų, ir gali būti atnaujintas bet kuriuo metu, kai vartotojas yra prisijungęs prie tinklo. Naudodamas TGT, vartotojas gali paprašyti atskirų autentifikavimo bilietų, kad galėtų pasiekti kitus tinklo serverius.
Kliento-serverio bilietas, dar vadinamas seanso bilietu, yra antroji autentifikavimo bilieto forma. Paprastai tai yra trumpalaikis bilietas, kuris išdalinamas, kai klientas nori pasiekti paslaugą konkrečiame serveryje. Seanso biliete yra kliento kompiuterio tinklo adresas, vartotojo informacija ir bilieto galiojimo trukmė. Kai kuriuose „Kerberos“ diegimuose, pvz., „Microsoft® Active Directory®“, taip pat galima naudoti trečiojo tipo bilietą, vadinamą nukreipimo bilietu. Šis bilieto tipas suteikiamas, kai klientas nori pasiekti serverį, kuris yra atskirame domene nuo jo paties.
Kerberos bilietų suteikimo sistema veikia naudojant atskirą serverį, žinomą kaip raktų paskirstymo centras (KDC), kuris teikia visą autentifikavimo bilietų sistemą. Šiame įrenginyje veikia du antriniai komponentai, iš kurių pirmasis yra žinomas kaip autentifikavimo serveris (AS). AS žino apie visus kitus kompiuterius ir vartotojus tinkle ir saugo jų slaptažodžių duomenų bazę. Kai vartotojas prisijungia prie tinklo, AS suteikia jam TGT.
Kai vartotojas turi pasiekti serverį kažkur tinkle, jis naudoja anksčiau pateiktą TGT ir prašo paslaugos bilieto iš antrosios KDC dalies, vadinamos bilietų suteikimo serveriu (TGS). TGS siunčia seanso bilietą atgal vartotojui, kuris vėliau gali jį naudoti norėdamas pasiekti serverį, kurio paprašė. Kai serveris gauna seanso bilietą, jis vartotojui siunčia kitą pranešimą, patvirtinantį jo tapatybę ir kad vartotojui leidžiama pasiekti prašomą paslaugą. Persiuntimo bilieto atveju reikalingas papildomas veiksmas, kai namų domeno KDC sukuria persiuntimo bilietą, leidžiantį klientui prašyti seanso bilietų iš kito KDC kitame tinklo domene. Visas šis bilietų generavimo ir dalijimosi procesas yra užšifruotas kiekviename žingsnyje, siekiant apsisaugoti nuo užpuoliko pasiklausymo arba apsimetančio vartotoju.
Pagrindinis autentifikavimo bilieto metodo trūkumas yra centralizuota visų leidimų struktūra. Jei užpuolikui pavyksta gauti prieigą prie KDC, jis iš esmės įgyja prieigą prie visų vartotojų tapatybių ir slaptažodžių ir gali apsimesti bet kuo. Be to, jei KDC taptų nepasiekiamas, niekas negalėtų naudotis tinklu. Kita problema yra detalūs bilietų gyvavimo ciklai, dėl kurių reikia, kad visų tinklo kompiuterių laikrodžiai būtų sinchronizuoti.