Vstopnica za preverjanje pristnosti je varnostna komponenta omrežnega varnostnega protokola Kerberos. Deluje kot žeton, majhna zbirka podatkov, ki se prenaša med odjemalskim računalnikom in strežnikom, tako da lahko oba računalnika drug drugemu dokažeta identiteto. Poleg te vzajemne omrežne identifikacije, vstopnica podrobno opisuje tudi vsa dovoljenja, ki jih ima odjemalec za dostop do strežnika in njegovih storitev, ter čas, dodeljen za sejo.
V bistvu obstajata dve vrsti vstopnic za preverjanje pristnosti. Vstopnica za odobritev vstopnic (TGT), imenovana tudi vstopnica za pridobitev vstopnic, je primarna vozovnica, ki se izda, ko odjemalski računalnik prvič ugotovi svojo identiteto. Ta vrsta vstopnice običajno traja dolgo, več kot 10 ur ali več, in jo je mogoče kadar koli obnoviti v obdobju, v katerem je uporabnik prijavljen v omrežje. S TGT lahko uporabnik nato zahteva posamezne vstopnice za preverjanje pristnosti za dostop do drugih strežnikov v omrežju.
Vstopnica med odjemalcem in strežnikom, imenovana tudi vstopnica za sejo, je druga oblika vstopnice za preverjanje pristnosti. To je običajno kratkotrajna vstopnica, ki se izroči, ko želi stranka dostopati do storitve na določenem strežniku. Vstopnica za sejo vsebuje omrežni naslov odjemalskega računalnika, podatke o uporabniku in trajanje, v katerem je vozovnica veljavna. V nekaterih izvedbah Kerberosa, kot je Microsoft® Active Directory®, se lahko uporablja tudi tretja vrsta vstopnice, imenovana referenčna vstopnica. Ta vrsta vstopnice je odobrena, ko želi odjemalec dostopati do strežnika, ki je na domeni, ločeni od njegove.
Sistem za dodeljevanje vstopnic Kerberos deluje z uporabo ločenega strežnika, znanega kot center za distribucijo ključev (KDC), ki zagotavlja celoten sistem vstopnic za preverjanje pristnosti. Ta stroj ima dve delujoči podkomponenti, od katerih je prva znana kot strežnik za preverjanje pristnosti (AS). AS pozna vse druge računalnike in uporabnike v omrežju ter vodi bazo podatkov o njihovih geselih. Ko se uporabnik prijavi v omrežje, mu AS dodeli TGT.
Na točki, ko mora uporabnik nekje v omrežju dostopati do strežnika, uporabi prej podani TGT in zahteva servisno kartico iz drugega dela KDC, imenovanega strežnik za dodelitev vstopnic (TGS). TGS pošlje vozovnico za sejo nazaj uporabniku, ki jo lahko nato uporabi za dostop do strežnika, ki ga je zahteval. Ko strežnik prejme vozovnico za sejo, uporabniku pošlje drugo sporočilo, ki potrjuje njegovo identiteto in da je uporabniku dovoljen dostop do zahtevane storitve. V primeru referenčne vstopnice je potreben dodaten korak, kjer KDC domače domene namesto tega ustvari referenčno vstopnico, ki odjemalcu omogoča, da zahteva vstopnice za sejo od drugega KDC v drugi omrežni domeni. Celoten postopek ustvarjanja in deljenja vstopnic je šifriran na vsakem koraku, da se zaščiti pred prisluškovanjem ali pretvarjanjem v uporabnika.
Glavna pomanjkljivost metode vstopnice za preverjanje pristnosti je centralizirana struktura vseh avtorizacij. Če napadalcu uspe pridobiti dostop do KDC, v bistvu pridobi dostop do vseh uporabniških identitet in gesel ter se lahko nato lažno predstavlja kot kdorkoli. Poleg tega, če KDC ne bi bil na voljo, nihče ne bi mogel uporabljati omrežja. Drugo vprašanje so podrobni življenjski cikli vstopnic, ki zahtevajo, da imajo vsi računalniki v omrežju svoje ure sinhronizirane.