编辑“︁Kerberos”︁（章节）

== 协议内容 ==

协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。
下面是对这个协议的一个简化描述，将使用以下缩写：
* AS（Authentication Server）= 认证服务器
* KDC（Key Distribution Center）= 密钥分发中心
* TGT（Ticket Granting Ticket）= 票据授权票据，票据的票据
* TGS（Ticket Granting Server）= 票据授权服务器
* SS（Service Server）= 特定服务提供端

[[客户端]]用户发送自己的用户名到KDC[[服务器]]以向AS服务进行[[身份验证|认证]]。KDC服务器会生成相应的TGT票据，打上[[時間戳|时间戳]]，在本地[[数据库]]中查找该用户的[[密碼|密码]]，并用该密码对TGT进行[[加密]]，将结果发还给客户端用户。该操作仅在用户[[登入|登录]]或者kinit申请的时候进行。
客户端收到该信息，并使用自己的密码进行解密之后，就能得到TGT票据了。这个TGT会在一段时间之后失效，也有一些程序（session manager）能在用户登陆期间进行自动更新。
当客户端用户需要使用一些特定服务（Kerberos术语中用「principal」表示）时，该客户端就发送TGT到KDC服务器中的TGS服务。当该用户的TGT验证通过并且其有权访问所申请的服务时，TGS服务会生成一个该服务所对应的ticket和session key，并发还给客户端。客户端将服务请求与该ticket一并发送给相应的服务端即可。具体的流程请看下面的描述。

其在[[OSI模型|網路通訊協定]]中屬於[[表示层|顯示層]]。

简单地说，用户先用[[共享密鑰|共享密钥]]从某认证服务器得到一个身份证明。随后，用户使用这个身份证明与SS通信，而不使用共享密钥。