Kerberosは、ネットワーク認証サービスを提供する、安全なシステムです。認証とは、以下のようなものを指します。
ネットワーク上のエンティティの身元が検証されること
ネットワーク上のトラフィックが、自分が送信元であると主張している送信元から来ていること
Kerberosは、パスワードを使用してユーザーの身元を検証します。これらのパスワードがネットワーク上に送信されるときには、必ず暗号化されます。
Kerberos 5サーバーとクライアントのいずれかの設定については、オフィシャル Red Hat Linuxカスタマイズガイドを参照してください。
従来のネットワークシステムのほとんどは、パスワードベースの認証体系を使用しています。ネットワークサーバー上で動作するサービスに対して、ユーザーが自分の身元を証明する必要が生じた場合、認証を要求する各サービスに対して、ユーザーは自分自身のパスワードを入力します。ユーザーのパスワードはネットワーク経由で送信され、サーバーはパスワードを使用してユーザーの身元を検証します。
一般的に行われていることですが、この方法でプレーンテキストのパスワードを送信するのは、重大なセキュリティ上のリスクです。ネットワークにアクセスできるシステムクラッカーやパケットアナライザ(パケットスニッファとも呼ばれる)は、このようにして送信されるパスワードを盗み見ることができます。
Kerberosのおもな設計目標は、暗号化されないパスワードがネットワーク経由で送信されることが絶対にないこと、というよりもパスワードがネットワーク経由でまったく送信されないことを保証することです。Kerberosを適切に使用することで、パケットスニッファによってネットワーク上のパスワードが盗み見られるという脅威が根絶されることになります。