Kerberos är ett nätverksautentiseringsprotokoll som använder krypterade biljetter för att skicka information över icke-säkra nätverk. Kerberos-autentisering har flera fördelar jämfört med andra nätverksautentiseringsmetoder, så att noderna som kommunicerar med varandra kan lita på att informationen de tar emot är autentisk och pålitlig och att framtida sessioner kommer att ha samma äkthet.
Ömsesidig autentisering
När två noder - som en klient och server eller server och server - börjar kommunicera, skickar de krypterade biljetter genom ett pålitligt tredjepartssystem som heter Key Distribution Center. KDC skickar en hemlig biljett med en dekrypteringsnyckel till båda noder. Noderna skickar sedan krypterade tidsstämplar till varandra och använder nyckeln för att dekryptera dem. Om de gör det med framgång autentiserar de sina motsvarigheter och kan lita på varandra så länge sessionen är öppen.
Lösenord
När en server försöker verifiera en klientdator med Kerberos-protokollet, behöver klienten inte skicka ett lösenord - tack vare den ömsesidiga autentiseringen har både klienten och servern den information som behövs för att dekryptera biljetterna. Detta innebär att alla paketet sniffar avlyssning av kommunikationen inte har tillgång till klient- eller serverlösenord, än mindre annan information som skickas under sessionen.
Integrerade sessioner
När en klientnod autentiseras i ett Kerberos-nätverk som stöds får den en klientbiljett med en utgångsstämpel. Så länge biljetten inte har gått ut kan klienten använda den för att komma åt någon annan nättjänst som stöder Kerberos-autentisering utan att behöva autentisera sig själv. Om klientens session i nätverket fortfarande är aktiv men biljetten går ut kan klienten begära en ny biljett.
Förnybara sessioner
När en klient och server har autentiserat sig mot varandra behöver de aldrig göra det igen. Som en del av den ömsesidiga autentiseringen får klienten autentiseringsuppgifter från servern. När klienten initierar en framtida session skickar den sina referenser till servern, som känner igen dem och omedelbart autentiserar klienten. Detta eliminerar behovet av en KDC, så de två noderna kan upprätta en säker anslutning ännu snabbare än de gjorde under sin första session.
