„Kerberos“ yra tinklo autentifikavimo protokolas, kuris naudoja užkoduotus bilietus informacijai perduoti nesaugiais tinklais. „Kerberos“ autentifikavimas suteikia keletą pranašumų, palyginti su kitais tinklo autentifikavimo metodais, todėl tarpusavyje bendraujantys mazgai gali pasitikėti, kad gaunama informacija yra autentiška ir patikima, o būsimos sesijos bus tokios pačios autentiškos.
Abipusis autentifikavimas
Kai du mazgai - pvz., Klientas ir serveris arba serveris ir serveris - pradeda ryšį, jie perduoda užšifruotus bilietus per patikimą trečiųjų šalių sistemą, vadinamą raktų paskirstymo centru. KDC abiem mazgams perduoda slaptą bilietą su iššifravimo raktu. Tada mazgai perduoda vienas kitam užšifruotus laiko ženklus ir naudoja raktą jiems iššifruoti. Jei tai pavyksta sėkmingai, jie patvirtina savo kolegas ir gali pasitikėti vienas kitu tol, kol sesija lieka atvira.
Slaptažodžiai
Kai serveris bando autentifikuoti kliento kompiuterį naudodamas Kerberos protokolą, klientas neprivalo siųsti slaptažodžio - abipusio autentifikavimo dėka tiek klientas, tiek serveris turi reikiamą informaciją, reikalingą bilietams iššifruoti. Tai reiškia, kad bet kuris paketinių duomenų uostytojas, pasiklausantis ryšio, neturės prieigos prie kliento ar serverio slaptažodžių, jau nekalbant apie kitą sesijos metu perduotą informaciją.
Integruotos sesijos
Kai kliento mazgas yra patvirtinamas Kerberos palaikomame tinkle, jis gauna kliento bilietą su galiojimo laiko žyma. Kol nėra pasibaigęs bilieto galiojimo laikas, klientas gali jį naudoti norėdamas prisijungti prie bet kurios kitos tinklo paslaugos, palaikančios „Kerberos“ autentifikavimą, nereikalaudamas savęs iš naujo patvirtinti. Jei kliento sesija tinkle vis dar aktyvi, tačiau bilieto galiojimo laikas baigiasi, klientas gali paprašyti naujo bilieto.
Atsinaujinančios sesijos
Kai klientas ir serveris patvirtina savo tapatybę, jiems to niekada nebereikia daryti. Kaip savitarpio autentifikavimo dalį klientas gauna prisijungimo duomenis iš serverio. Kai klientas inicijuoja būsimą sesiją, jis išsiunčia savo kredencialus serveriui, kuris juos atpažįsta ir nedelsdamas autentifikuoja klientą. Tai pašalina KDC poreikį, todėl du mazgai gali užmegzti saugų ryšį dar greičiau nei tai padarė per pirmąjį seansą.
