Kerberos身份驗證是分佈式環境中開放系統開發的身份驗證機制。當用戶第1次登錄上工作站時,需輸進自己的賬號與口令。從用戶登錄到退出這段時間叫做一個登錄會話。在會話中，用戶可能需要訪問遠程資源。這些遠程資源需要驗證用戶的身份,那麼用戶登錄的工作站將為用戶實施認證,而用戶本身無需知道實施了認證。Kerberos是一種基於對稱加密在網絡上進行身份驗證的服務協議,其可使工作站由交換加密消息於非安全網絡上和另一台工作站互證身份,一旦嘗試登錄上網的用戶身份得到驗證, Kerberos協議則會向這2台工作站給出密鑰,並顺利获得用密鑰與加密算法給用戶間的通信加密以進行安全的通信。

现在,Kerberos協議有5個版本,前3個版本已不再使用,第4與5版從概念上說很相似,但根本原理完全不一樣。第4版用戶量大,結構更為簡單且性能好,不過它只可用在TCP/IP協議,而第5版的功能更多。

Kerberos實現包括在網絡上的物理安全節點上運行的KDC和可以調用的函數庫，由KDC的第三方服務核驗計算機彼此的身份,並建立密鑰來確保計算機間的連接是安全的。

Kerberos協議實際上有3種不同的認證類型：

1.認證服務器(AS)認證：是在客戶和清楚客戶秘鑰的Kerberos認證服務器間的一次初始認證。此認證使客戶有了一張能訪問指定的認證服務器的票據。

2.票據許可服務器(TGS)認證：是在客戶與指定的認證服務器間的一次認證,這個時候,驗證服務器稱為票證許可證服務器。客戶未用自己的秘鑰,但用了在AS那裏得到的票據。此次交換使客戶可更深入地訪問指定的認證服務器的票據。

3.客戶機/服務器(CS)認證：是在客戶與指定的認證服務器間的一次認證,此時，該認證服務器叫做目標服務器,客戶對目標服務器認證或目標服務器對客戶認證。此過程用了在AS或TGS那裏交換到的票據。