In der Kerberos-Welt bieten Servicetickets (STs) Zugriff auf Anwendungsdienste wie zum Beispiel einen HTTP- oder SSH-Dienst, der auf einem Server ausgeführt wird. Der eigentliche HTTP- oder SSH-Dienst in einem solchen Beispiel wird als geschützte Ressource betrachtet. Sie müssen Ihre Identität für diesen Dienst nachweisen, indem Sie ein Kerberos-Dienstticket bereitstellen. Lasst uns nun einen Schritt zurück gehen. Um Servicetickets vom KDC zu erhalten, müssen Sie ein TGT besitzen. Das TGT ist der Mechanismus, in dem der Kerberos-Client seine Identität mit dem KDC nachweist, um STs zu erhalten, und der STT der Mechanismus, mit dem der Kerberos-Client seine Identität mit der Zielressource (Anwendungsserver) nachweist. Anwendungsserver validieren TGTs des Kerberos-Clients nicht, sie validieren STs. Der Kerberos-Client kann entweder ein Benutzer, ein Computer oder sogar ein Dienst sein. Während Kerberos für jede übergreifende Authentifizierungs-Framework-Architektur portierbar ist, wurde es für die Verwendung innerhalb von internen Netzwerken und nicht über das Web entworfen. Referenz: Kerberos: An Authentication Service for Computer Networks