Kerberos é um protocolo de autenticação de rede que usa tíquetes criptografados para passar informações por redes não seguras. A autenticação Kerberos apresenta várias vantagens sobre outros métodos de autenticação de rede, de modo que os nós que se comunicam entre si podem confiar que as informações que estão recebendo são autênticas e confiáveis e que as sessões futuras terão a mesma autenticidade.
Autenticação Mútua
Quando dois nós - como um cliente e servidor ou servidor e servidor - iniciam a comunicação, eles passam tíquetes criptografados por meio de um sistema terceirizado confiável chamado Centro de distribuição de chaves. O KDC passa um tíquete secreto com uma chave de descriptografia para ambos os nós. Os nós então passam os timestamps criptografados uns para os outros e usam a chave para descriptografá-los. Se o fizerem com êxito, eles autenticam suas contrapartes e podem confiar uns nos outros enquanto a sessão permanecer aberta.
Senhas
Quando um servidor tenta autenticar um computador cliente usando o protocolo Kerberos, o cliente não precisa enviar uma senha - graças à autenticação mútua, o cliente e o servidor têm as informações necessárias para descriptografar os tíquetes. Isso significa que qualquer farejador de pacote que esteja espionando a comunicação não terá acesso às senhas do cliente ou do servidor, muito menos a qualquer outra informação passada durante a sessão.
Sessões Integradas
Quando um nó cliente é autenticado em uma rede compatível com Kerberos, ele recebe um tíquete de cliente com um carimbo de data / hora de expiração. Contanto que o tíquete não tenha expirado, o cliente pode usá-lo para acessar qualquer outro serviço de rede que ofereça suporte à autenticação Kerberos sem ter que se autenticar novamente. Se a sessão do cliente na rede ainda estiver ativa, mas o tíquete expirar, o cliente pode solicitar um novo tíquete.
Sessões renováveis
Depois que um cliente e um servidor se autenticam um ao outro, eles nunca mais precisam fazer isso. Como parte da autenticação mútua, o cliente recebe credenciais do servidor. Quando o cliente inicia uma sessão futura, ele envia suas credenciais ao servidor, que as reconhece e imediatamente autentica o cliente. Isso elimina a necessidade de um KDC, para que os dois nós possam estabelecer uma conexão segura ainda mais rápido do que durante a primeira sessão.