ตั๋วรับรองความถูกต้องเป็นองค์ประกอบความปลอดภัยของโปรโตคอลความปลอดภัยเครือข่าย Kerberos มันทำหน้าที่เป็นโทเค็นการรวบรวมข้อมูลขนาดเล็กส่งผ่านระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์เพื่อให้คอมพิวเตอร์สองเครื่องสามารถพิสูจน์ตัวตนซึ่งกันและกันได้ นอกเหนือจากการระบุเครือข่ายร่วมกันตั๋วยังแสดงรายละเอียดสิ่งที่ลูกค้าอนุญาตสำหรับการเข้าถึงเซิร์ฟเวอร์และบริการของตนรวมถึงเวลาที่กำหนดไว้สำหรับเซสชัน
ตั๋วการรับรองความถูกต้องมีสองประเภท ตั๋วที่อนุญาตให้ใช้ตั๋ว (TGT) หรือที่เรียกว่าตั๋วเพื่อรับตั๋วเป็นตั๋วหลักที่ออกเมื่อคอมพิวเตอร์ไคลเอนต์สร้างเอกลักษณ์เป็นครั้งแรก ตั๋วประเภทนี้มักจะใช้เวลานานเกิน 10 ชั่วโมงขึ้นไปและสามารถต่ออายุได้ทุกเวลาในช่วงเวลาที่ผู้ใช้เข้าสู่ระบบเครือข่าย ด้วย TGT ผู้ใช้จะสามารถขอตั๋วการรับรองความถูกต้องแต่ละรายการเพื่อเข้าถึงเซิร์ฟเวอร์อื่น ๆ บนเครือข่าย
ตั๋วระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์หรือที่เรียกว่าตั๋วเซสชันเป็นตั๋วตรวจสอบสิทธิ์รูปแบบที่สอง โดยทั่วไปจะเป็นตั๋วอายุสั้นที่แจกเมื่อลูกค้าต้องการเข้าถึงบริการบนเซิร์ฟเวอร์เฉพาะ ตั๋วเซสชันประกอบด้วยที่อยู่เครือข่ายของคอมพิวเตอร์ไคลเอนต์ข้อมูลผู้ใช้และระยะเวลาที่ตั๋วถูกต้อง ในการใช้งาน Kerberos บางประเภทเช่นMicrosoft® Active Directory®ตั๋วประเภทที่สามที่เรียกว่าตั๋วการอ้างอิงสามารถใช้งานได้เช่นกัน ประเภทตั๋วนี้จะได้รับเมื่อลูกค้าต้องการเข้าถึงเซิร์ฟเวอร์ที่อยู่ในโดเมนแยกต่างหากจากของตัวเอง
วิธีการทำงานของระบบการให้สิทธิ์ตั๋ว Kerberos ก็คือการใช้เซิร์ฟเวอร์แยกต่างหากที่รู้จักกันในชื่อศูนย์การแจกจ่ายคีย์ (KDC) ที่ให้บริการระบบตั๋วการรับรองความถูกต้องทั้งหมด เครื่องนี้มีส่วนประกอบย่อยสองส่วนที่ทำงานอยู่ซึ่งเรียกว่าเซิร์ฟเวอร์การรับรองความถูกต้อง (AS) AS รู้เกี่ยวกับคอมพิวเตอร์และผู้ใช้อื่น ๆ ทั้งหมดในเครือข่ายและเก็บฐานข้อมูลรหัสผ่านของพวกเขา เมื่อผู้ใช้ล็อกออนเข้าสู่เครือข่าย AS จะให้ TGT แก่เขา
ณ จุดที่ผู้ใช้ต้องการเข้าถึงเซิร์ฟเวอร์บางแห่งในเครือข่ายเขาใช้ TGT ที่ให้ไว้ก่อนหน้านี้และขอตั๋วบริการจากส่วนที่สองของ KDC ที่เรียกว่าเซิร์ฟเวอร์ให้สิทธิ์ตั๋ว (TGS) TGS ส่งตั๋วเซสชันกลับไปยังผู้ใช้ซึ่งสามารถใช้เพื่อเข้าถึงเซิร์ฟเวอร์ที่เขาร้องขอ เมื่อเซิร์ฟเวอร์ได้รับตั๋วเซสชันมันจะส่งข้อความอีกครั้งกลับไปยังผู้ใช้เพื่อยืนยันตัวตนและผู้ใช้จะได้รับอนุญาตให้เข้าถึงบริการที่ร้องขอ ในกรณีของตั๋วการอ้างอิงจำเป็นต้องมีขั้นตอนเพิ่มเติมที่ KDC ของโดเมนภายในบ้านสร้างตั๋วการอ้างอิงที่ช่วยให้ลูกค้าสามารถร้องขอตั๋วเซสชันจาก KDC อื่นในโดเมนเครือข่ายอื่น กระบวนการสร้างและแบ่งปันตั๋วทั้งหมดนี้ได้รับการเข้ารหัสในทุกขั้นตอนเพื่อป้องกันผู้บุกรุกที่กำลังดักข้อมูลหรือทำการหลอกลวงในฐานะผู้ใช้
ข้อเสียเปรียบหลักสำหรับวิธีการตรวจสอบตั๋วเป็นโครงสร้างส่วนกลางของการอนุญาตทั้งหมด หากผู้โจมตีจัดการเพื่อเข้าถึง KDC เขาจะได้รับการเข้าถึงข้อมูลผู้ใช้และรหัสผ่านทั้งหมดและสามารถปลอมตัวเป็นใครก็ได้ เพิ่มเติมหาก KDC ไม่สามารถใช้งานได้จะไม่มีใครสามารถใช้เครือข่ายได้ ปัญหาอื่นคือวงจรชีวิตแบบละเอียดของตั๋วซึ่งกำหนดให้คอมพิวเตอร์ทุกเครื่องในเครือข่ายมีการซิงโครไนซ์นาฬิกา
