Kerberos je mrežni protokol za provjeru autentičnosti koji koristi šifrirane ulaznice za prosljeđivanje podataka preko nesigurnih mreža. Kerberos provjera autentičnosti predstavlja nekoliko prednosti u odnosu na druge metode mrežne provjere, tako da čvorovi koji međusobno komuniciraju mogu vjerovati da su informacije koje primaju autentične i pouzdane te da će i buduće sesije imati istu vjerodostojnost.
Uzajamna provjera autentičnosti
Kad dva čvora - poput klijenta i poslužitelja ili poslužitelja i poslužitelja - započnu komunikaciju, prosljeđuju šifrirane ulaznice kroz pouzdani sustav treće strane pod nazivom Centar za distribuciju ključeva. KDC prosljeđuje tajnu ulaznicu s ključem za dešifriranje u oba čvora. Čvorovi zatim međusobno prosljeđuju šifrirane vremenske žigove i koriste ih ključem za njihovo dešifriranje. Ako to uspješno učine, oni provjeravaju autentičnost svojih kolega i mogu vjerovati jedni drugima dok je sesija otvorena.
Lozinke
Kada poslužitelj pokušava provjeriti autentičnost klijentskog računala pomoću Kerberos protokola, klijent ne mora poslati lozinku - zahvaljujući međusobnoj autentifikaciji i klijent i poslužitelj imaju potrebne podatke potrebne za dešifriranje ulaznica. To znači da bilo koji prisluškivač paketa koji prisluškuje komunikaciju neće imati pristup lozinkama klijenta ili poslužitelja, a kamoli bilo kojim drugim informacijama proslijeđenim tijekom sesije.
Integrirane sesije
Kada se klijentski čvor provjeri autentičnost na mreži koja podržava Kerberos, on prima klijentsku kartu s vremenskim žigom. Sve dok ulaznica nije istekla, klijent je može koristiti za pristup bilo kojoj drugoj mrežnoj usluzi koja podržava Kerberos provjeru autentičnosti, bez potrebe za ponovnom autorizacijom. Ako je sesija klijenta na mreži još uvijek aktivna, ali karta ističe, klijent može zatražiti novu kartu.
Obnovljive sesije
Jednom kada se klijent i poslužitelj međusobno provjere autentičnost, to više nikada neće morati učiniti. Kao dio međusobne provjere autentičnosti, klijent prima vjerodajnice od poslužitelja. Kad klijent pokrene buduću sesiju, svoje vjerodajnice šalje poslužitelju koji ih prepoznaje i odmah provjerava autentičnost klijenta. To eliminira potrebu za KDC-om, tako da dva čvora mogu uspostaviti sigurnu vezu čak i brže nego što su to učinili tijekom svoje prve sesije.
