O Ticket Granting Server (TGS) é um servidor introduzido no cenário de
autenticação do protocolo Kerberos para evitar que a senha do usuário seja
extraviada. O TGS concede tickets aos usuários que já foram autenticados pelo
Authentication Server (AS). Primeiramente, o usuário faz o pedido de um ticket
granting ticket ao AS. Toda vez em que o usuário precisar de algum serviço
específico, irá usar este TGT para fazer sua autenticação e seu requerimento de
serviços ao TGS. O TGS, então, concede um ticket para um serviço em particular.
O serviço pode rejeitar o ticket ou aceitar e atender ao pedido. Como o ticket
recebido do TGS possui um determinado tempo para expirar, é possível utilizá-lo
para diversas requests durante este período, sem que uma re-autenticação seja
necessária. A validade do ticket dura apenas um período limitado de tempo,
diminuindo a probabilidade de que uma outra pessoa venha a utilizar o mesmo
ticket mais tarde. Após o processo em que o usuário prova sua identidade
adquirindo o TGT, o TGS, a credencial para um determinado serviço, é construída
da seguinte forma: Cria-se um autenticador, com o nome do principal (o usuário) e
o tempo de vida do ticket, tudo criptografado juntamente com a chave de sessão
compartilhada com o TGS. Cria-se, então, um pacote de request, contendo: o
serviço para o qual o ticket foi concedido e seu tempo de vida, o TGT já
criptografado, e o autenticador, criado anteriormente.