Um ambiente completo de Kerberos consistindo em um Servidor Kerberos,
determinado número de clientes e de aplicações, requer as seguintes
características:
- Todos os usuários devem estar registrados no Servidor Kerberos, e suas
senhas devem estar guardadas na Base de Dados.
- O Servidor Kerberos, que também possui o registro de todos os servidores,
deve compartilhar uma chave secreta com cada servidor.
Tal ambiente é chamado de realm. Redes de clientes e servidores pertencentes a
diferentes organizações administrativas constituem diferentes realms. Usuários
pertencentes a um realm podem precisar obter acesso a servidores em outros
realms, como também servidores podem estar dispostos a proporcionar serviços
a usuários de outros realms,uma vez que estes usuários estejam autenicados.
O Kerberos possui um mecanismo que suporta o cross-realm authentication, ou
autenticação entre realms: O Servidor Kerberos, em cada interoperação entre
realms, compartilha um chave secreta com o Servidor no outro realm. Os dois
servidores estão registrados entre si, com mútua confiança.
A descrição do mecanismo é apresentada a seguir:
Um usuário que deseja acessar um serviço presente em um servidor pertencente
a outro realm, precisa de um ticket para este servidor. A máquina cliente, onde
está o usuário, segue os procedimentos necessários para a obtenção de acesso
ao TGS local, para então fazer a requisição de um ticket granting ticket para um
TGS remoto, isto é, em outro realm.
Feito isso, o usuário pode então pedir a este TGS remoto um service granting
ticket para o servidor desejado.
O ticket apresentado ao servidor remoto contém a informação de qual realm o
usuário foi originalmente autenticado. O servidor escolhe se vai atender ao pedido
remoto.