Todennuslippu on Kerberos -verkon suojausprotokollan suojakomponentti. Se toimii merkkinä, pienenä tietokokoelmana, joka välitetään asiakastietokoneen ja palvelimen välillä, jotta nämä kaksi tietokonetta voivat todistaa identiteettinsä toisilleen. Tämän keskinäisen verkon tunnistamisen lisäksi lippu kertoo myös kaikki käyttöoikeudet, joita asiakkaalla on palvelimelle ja sen palveluille, sekä istunnolle varattu aika.
Todentamislippuja on pohjimmiltaan kahta tyyppiä. Lippujen myöntämislippu (TGT), jota kutsutaan myös lipuksi lippujen saamiseksi, on ensisijainen lippu, joka myönnetään, kun asiakastietokone määrittää henkilöllisyytensä ensimmäisen kerran. Tämäntyyppinen lippu kestää tyypillisesti pitkään, yli 10 tuntia tai enemmän, ja se voidaan uusia milloin tahansa sen ajanjakson aikana, jona käyttäjä on kirjautunut verkkoon. TGT: n avulla käyttäjä voi pyytää yksittäisiä todennuslippuja käyttääkseen muita verkon palvelimia.
Asiakas-palvelin-lippu, jota kutsutaan myös istuntolipuksi, on todennuslipun toinen muoto. Tämä on tyypillisesti lyhytaikainen lippu, joka jaetaan, kun asiakas haluaa käyttää palvelua tietyllä palvelimella. Istuntolippu sisältää asiakastietokoneen verkko -osoitteen, käyttäjätiedot ja keston, jolloin lippu on voimassa. Joissakin Kerberos -toteutuksissa, kuten Microsoftin Active Directory®, voidaan käyttää myös kolmatyyppistä lippua, nimeltään viittauslippu. Tämä lipputyyppi myönnetään, kun asiakas haluaa käyttää palvelinta, joka sijaitsee erillisellä toimialueella.
Kerberos -lippujen myöntämisjärjestelmä toimii käyttämällä erillistä palvelinta, joka tunnetaan avainten jakelukeskuksena (KDC), joka tarjoaa koko todennuslippujärjestelmän. Tässä koneessa on käynnissä kaksi alikomponenttia, joista ensimmäinen tunnetaan todennuspalvelimena (AS). Tukiasema tietää kaikista muista verkon tietokoneista ja käyttäjistä ja pitää tietokannan salasanoistaan. Kun käyttäjä kirjautuu verkkoon, liitännäisjärjestelmä antaa hänelle TGT: n.
Siinä vaiheessa, kun käyttäjän on päästävä johonkin verkon palvelimeen, hän käyttää aiemmin annettua TGT: tä ja pyytää palvelulippua KDC: n toiselta osalta, jota kutsutaan lippujen myöntämispalvelimeksi (TGS). TGS lähettää istuntolipun takaisin käyttäjälle, joka voi sitten käyttää sitä pyytämälleen palvelimelle. Kun palvelin vastaanottaa istuntolipun, se lähettää toisen viestin takaisin käyttäjälle, joka vahvistaa henkilöllisyytensä ja että käyttäjä saa käyttää pyydettyä palvelua. Viittauslipun tapauksessa tarvitaan lisävaihe, jossa kotiverkkotunnuksen KDC luo sen sijaan viittauslipun, jonka avulla asiakas voi pyytää istuntolippuja toiselta eri verkkotunnuksen KDC: ltä. Tämä koko lippujen generointi- ja jakamisprosessi on salattu matkan varrella suojatakseen hyökkääjää salakuuntelulta tai naamioinnilta käyttäjänä.
Todentamislippumenetelmän ensisijainen haittapuoli on kaikkien valtuutusten keskitetty rakenne. Jos hyökkääjä onnistuu pääsemään KDC: hen, hän saa pääsyn kaikkiin käyttäjätunnuksiin ja salasanoihin ja voi sitten esiintyä kenenä tahansa. Lisäksi jos KDC ei ole käytettävissä, kukaan ei voi käyttää verkkoa. Toinen ongelma on lippujen yksityiskohtaiset elinkaarit, jotka edellyttävät, että kaikkien verkon tietokoneiden kellot on synkronoitu.