Kerberos, bilgileri güvenli olmayan ağlar üzerinden iletmek için şifrelenmiş biletleri kullanan bir ağ kimlik doğrulama protokolüdür. Kerberos kimlik doğrulaması, diğer ağ kimlik doğrulama yöntemlerine göre çeşitli avantajlar sunar, böylece birbirleriyle iletişim kuran düğümler, aldıkları bilgilerin gerçek ve güvenilir olduğuna ve gelecekteki oturumların aynı özgünlüğe sahip olacağına güvenebilirler.
Karşılıklı kimlik doğrulama
İstemci ve sunucu veya sunucu ve sunucu gibi iki düğüm iletişime başladığında, Anahtar Dağıtım Merkezi adı verilen güvenilir bir üçüncü taraf sistemi aracılığıyla şifrelenmiş biletleri geçirirler. KDC, her iki düğüme de şifre çözme anahtarı olan gizli bir bilet iletir. Düğümler daha sonra şifreli zaman damgalarını birbirlerine iletir ve şifreyi çözmek için anahtarı kullanır. Bunu başarılı bir şekilde yaparlarsa, muadillerinin kimliğini doğrularlar ve oturum açık kaldığı sürece birbirlerine güvenebilirler.
Şifreler
Bir sunucu, Kerberos protokolünü kullanarak bir istemci bilgisayarın kimliğini doğrulamaya çalıştığında, istemcinin bir parola göndermesi gerekmez - karşılıklı kimlik doğrulama sayesinde, hem istemci hem de sunucu biletlerin şifresini çözmek için gerekli bilgilere sahiptir. Bu, iletişimi gizlice dinleyen herhangi bir paket dinleyicisinin, oturum sırasında iletilen diğer bilgileri bir yana, istemci veya sunucu parolalarına bile erişemeyeceği anlamına gelir.
Entegre Oturumlar
Kerberos tarafından desteklenen bir ağda bir istemci düğümünün kimliği doğrulandığında, sona erme zaman damgası olan bir istemci bileti alır. Biletin süresi dolmadığı sürece, istemci, kendisini yeniden doğrulamak zorunda kalmadan Kerberos kimlik doğrulamasını destekleyen diğer herhangi bir ağ hizmetine erişmek için bunu kullanabilir. İstemcinin ağdaki oturumu hala etkinse ancak biletin süresi dolarsa, müşteri yeni bir bilet talep edebilir.
Yenilenebilir Seanslar
Bir istemci ve sunucu birbirlerinin kimliklerini bir kez doğruladıktan sonra bunu bir daha yapmak zorunda kalmazlar. Karşılıklı kimlik doğrulamanın bir parçası olarak istemci, sunucudan kimlik bilgilerini alır. İstemci gelecekteki bir oturumu başlattığında, kimlik bilgilerini sunucuya gönderir, sunucu onları tanır ve istemcinin kimliğini hemen doğrular. Bu, bir KDC ihtiyacını ortadan kaldırır, böylece iki düğüm, ilk oturumlarında olduğundan daha hızlı bir şekilde güvenli bir bağlantı kurabilir.