Kerberos es un protocolo de autenticación de red que utiliza tickets encriptados para pasar información a través de redes no seguras. La autenticación Kerberos presenta varias ventajas sobre otros métodos de autenticación de red, de modo que los nodos que se comunican entre sí pueden confiar en que la información que reciben es auténtica y confiable, y que las sesiones futuras tendrán la misma autenticidad.
Autenticacion mutua
Cuando dos nodos, como un cliente y un servidor o un servidor y un servidor, inician las comunicaciones, pasan los tickets cifrados a través de un sistema de terceros de confianza llamado Centro de distribución de claves. El KDC pasa un ticket secreto con una clave de descifrado a ambos nodos. Luego, los nodos se pasan marcas de tiempo cifradas entre sí y usan la clave para descifrarlos. Si lo hacen con éxito, autentican a sus homólogos y pueden confiar entre sí durante el tiempo que la sesión permanezca abierta.
Contraseñas
Cuando un servidor intenta autenticar una computadora cliente utilizando el protocolo Kerberos, el cliente no tiene que enviar una contraseña; gracias a la autenticación mutua, tanto el cliente como el servidor tienen la información necesaria para descifrar los tickets. Esto significa que cualquier rastreador de paquetes que escuche a escondidas la comunicación no tendrá acceso a las contraseñas de cliente o servidor, y mucho menos a cualquier otra información transmitida durante la sesión.
Sesiones integradas
Cuando un nodo cliente se autentica en una red compatible con Kerberos, recibe un ticket de cliente con una marca de tiempo de vencimiento. Siempre que el ticket no haya expirado, el cliente puede usarlo para acceder a cualquier otro servicio de red que admita la autenticación Kerberos sin tener que volver a autenticarse. Si la sesión del cliente en la red todavía está activa pero el ticket expira, el cliente puede solicitar un nuevo ticket.
Sesiones renovables
Una vez que un cliente y un servidor se han autenticado entre sí, no tienen que volver a hacerlo nunca más. Como parte de la autenticación mutua, el cliente recibe credenciales del servidor. Cuando el cliente inicia una sesión futura, envía sus credenciales al servidor, que las reconoce y autentica inmediatamente al cliente. Esto elimina la necesidad de un KDC, por lo que los dos nodos pueden establecer una conexión segura incluso más rápido que durante su primera sesión.