Kerberos er en netværksgodkendelsesprotokol, der bruger krypterede billetter til at videregive oplysninger over usikre netværk. Kerberos-godkendelse præsenterer flere fordele i forhold til andre netværksgodkendelsesmetoder, så de noder, der kommunikerer med hinanden, kan stole på, at de oplysninger, de modtager, er autentiske og pålidelige, og at fremtidige sessioner vil have den samme ægthed.
Gensidig godkendelse
Når to noder - såsom en klient og server eller server og server - begynder kommunikation, sender de krypterede billetter gennem et pålideligt tredjepartssystem kaldet Key Distribution Center. KDC sender en hemmelig billet med en dekrypteringsnøgle til begge noder. Noderne sender derefter krypterede tidsstempler til hinanden og bruger nøglen til at dekryptere dem. Hvis de gør det med succes, godkender de deres kolleger og kan stole på hinanden, så længe sessionen forbliver åben.
Adgangskoder
Når en server forsøger at godkende en klientcomputer ved hjælp af Kerberos-protokollen, behøver klienten ikke at sende en adgangskode - takket være den gensidige godkendelse har både klienten og serveren de nødvendige oplysninger, der er nødvendige for at dekryptere billetterne. Dette betyder, at enhver pakkesniffere, der aflytter kommunikationen, ikke har adgang til klient- eller serveradgangskoder, endsige andre oplysninger, der sendes under sessionen.
Integrerede sessioner
Når en klientknude er godkendt på et Kerberos-understøttet netværk, modtager den en klientbillet med et udløbstidsstempel. Så længe billetten ikke er udløbet, kan klienten bruge den til at få adgang til enhver anden netværkstjeneste, der understøtter Kerberos-godkendelse uden at skulle autentificere sig selv. Hvis klientsessionen på netværket stadig er aktiv, men billetten udløber, kan klienten muligvis anmode om en ny billet.
Vedvarende sessioner
Når en klient og server har godkendt sig over for hinanden, behøver de aldrig gøre det igen. Som en del af den gensidige godkendelse modtager klienten legitimationsoplysninger fra serveren. Når klienten starter en fremtidig session, sender den sin legitimationsoplysninger til serveren, som genkender dem og straks godkender klienten. Dette eliminerer behovet for en KDC, så de to noder kan etablere en sikker forbindelse endnu hurtigere end de gjorde under deres første session.
