Kerberos ir tīkla autentifikācijas protokols, kas izmanto šifrētas biļetes, lai pārsūtītu informāciju nedrošos tīklos. Kerberos autentifikācijai ir vairākas priekšrocības salīdzinājumā ar citām tīkla autentifikācijas metodēm, lai mezgli, kas sazinās savā starpā, varētu uzticēties, ka saņemtā informācija ir autentiska un uzticama un ka nākamajām sesijām būs vienāda autentiskums.
Savstarpējā autentifikācija
Kad divi mezgli - piemēram, klients un serveris vai serveris un serveris - sāk sakarus, viņi nodod šifrētas biļetes caur uzticamu trešo personu sistēmu, ko sauc par atslēgu izplatīšanas centru. KDC abiem mezgliem nodod slepenu biļeti ar atšifrēšanas atslēgu. Pēc tam mezgli nodod viens otram šifrētus laika zīmogus un izmanto to atslēgu, lai tos atšifrētu. Ja viņi to veiksmīgi izdara, viņi autentificē savus kolēģus un var uzticēties viens otram, kamēr sesija paliek atvērta.
Paroles
Kad serveris mēģina autentificēt klienta datoru, izmantojot Kerberos protokolu, klientam nav jānosūta parole - pateicoties savstarpējai autentifikācijai, gan klientam, gan serverim ir nepieciešamā informācija, kas nepieciešama biļešu atšifrēšanai. Tas nozīmē, ka visiem pakešu sniffers, kas noklausās saziņu, nevarēs piekļūt klienta vai servera parolēm, nemaz nerunājot par jebkuru citu informāciju, kas nodota sesijas laikā.
Integrētās sesijas
Kad klienta mezgls tiek autentificēts Kerberos atbalstītajā tīklā, tas saņem klienta biļeti ar derīguma termiņa zīmogu. Kamēr biļetes derīguma termiņš nav beidzies, klients to var izmantot, lai atkārtoti neidentificētos, lai piekļūtu jebkuram citam tīkla pakalpojumam, kas atbalsta Kerberos autentifikāciju. Ja klienta sesija tīklā joprojām ir aktīva, bet biļetes derīguma termiņš beidzas, klients var pieprasīt jaunu biļeti.
Atjaunojamās sesijas
Kad klients un serveris ir autentificējušies savā starpā, viņiem tas vairs nav jādara. Kā daļu no savstarpējās autentifikācijas klients saņem servera akreditācijas datus. Kad klients uzsāk nākamo sesiju, tas nosūta savus akreditācijas datus serverim, kas tos atpazīst un nekavējoties autentificē klientu. Tas novērš nepieciešamību pēc KDC, tāpēc abi mezgli var izveidot drošu savienojumu pat ātrāk, nekā to darīja pirmās sesijas laikā.
