Un ticket de autenticación es un componente de seguridad del protocolo de seguridad de red Kerberos. Actúa como una especie de token, una pequeña recopilación de datos, que se pasa entre una computadora cliente y un servidor, para que las dos computadoras puedan probar su identidad. Más allá de esta identificación de red mutua, el ticket también detalla los permisos que tiene el cliente para acceder al servidor y sus servicios, así como el tiempo asignado para la sesión.

Básicamente, hay dos tipos de tickets de autenticación. Un boleto de concesión de boletos (TGT), también conocido como un boleto para obtener boletos, es el boleto principal emitido cuando la computadora del cliente establece su identidad por primera vez. Este tipo de ticket generalmente dura un largo período, más de 10 horas o más, y se puede renovar en cualquier momento durante el período en el que el usuario está conectado a la red. Con un TGT, el usuario puede solicitar tickets de autenticación individuales para acceder a otros servidores en la red.

Un ticket de cliente a servidor, también denominado ticket de sesión, es la segunda forma de ticket de autenticación. Este es típicamente un boleto de corta duración que se entrega cuando un cliente desea acceder a un servicio en un servidor en particular. El ticket de sesión contiene la dirección de red del equipo cliente, la información del usuario y una duración en la cual el ticket es válido. En algunas implementaciones de Kerberos, como Active Directory® de Microsoft®, también se puede utilizar un tercer tipo de ticket, denominado ticket de referencia. Este tipo de ticket se otorga cuando un cliente desea acceder a un servidor que reside en un dominio separado del suyo.

La forma en que funciona el sistema de concesión de tickets Kerberos es mediante el uso de un servidor separado, conocido como el centro de distribución de claves (KDC), que proporciona el sistema completo de tickets de autenticación. Esta máquina tiene dos subcomponentes en ejecución, el primero de los cuales se conoce como el servidor de autenticación (AS). El AS conoce todas las otras computadoras y usuarios en la red y mantiene una base de datos de sus contraseñas. Cuando un usuario inicia sesión en la red, el AS le otorga un TGT.

En el punto en que un usuario necesita acceder a un servidor en algún lugar de la red, utiliza el TGT proporcionado anteriormente y solicita un ticket de servicio de la segunda parte del KDC, llamado servidor de otorgamiento de tickets (TGS). El TGS envía un ticket de sesión al usuario, que luego puede usarlo para acceder al servidor que solicitó. Cuando el servidor recibe el ticket de sesión, envía otro mensaje al usuario verificando su identidad y que el usuario puede acceder al servicio solicitado. En el caso de un boleto de referencia, se requiere un paso adicional donde el KDC del dominio de origen crea un boleto de referencia que permite al cliente solicitar boletos de sesión de otro KDC en un dominio de red diferente. Todo este proceso de generación e intercambio de tickets se encripta en cada paso del camino para protegerlo contra un atacante que escuche o se haga pasar por un usuario.

El principal inconveniente del método de ticket de autenticación es la estructura centralizada de todas las autorizaciones. Si un atacante logra obtener acceso al KDC, esencialmente obtiene acceso a todas las identidades de usuario y contraseñas y luego puede hacerse pasar por cualquiera. Además, si el KDC deja de estar disponible, nadie podrá utilizar la red. Otro problema son los ciclos de vida detallados de los tickets, que requieren que todas las computadoras de la red tengan sus relojes sincronizados.