Kerberos ist ein Protokoll zur verteilten Netzwerk-Authentifizierung zwischen Client- und Server-Applikationen, bei der eine Secret-Key-Kryptographie eingesetzt wird. Es existieren freie Implementierungen von Kerberos, aber auch viele kommerzielle Produkte setzen dieses Protokoll ein. Grundsätzlich kümmert sich Kerberos um die folgenden zwei Probleme: Zum einen können in einem unsicheren Netz wie bspw. dem Internet oder u.U. einem Firmennetzwerk Informationen, vor allem bei der Authentifizierung, mitgelesen werden (das sogenannte Sniffing). Das zweite Problem geht auf die Tatsache zurück, dass Angriffe nicht nur von außerhalb des eigenen Netzes geschehen (worum sich bspw. Firewalls kümmern), sondern auch von intern. Mittels der Funktionalitäten von Kerberos wird das eben angesprochene passive Sniffing unterbunden, aber auch Spoofing oder Wörterbuch- und Replay-Attacken zumindest erschwert.
Der grobe Ablauf des Kerberos-Protokolls ist wie folgt: Ein Client beweist seine Identität gegenüber einem Dienst sowie umgekehrt. Das kann über ein unsicheres Netz geschehen. Zudem besteht die Möglichkeit, dass die weitere Kommunikation zwischen Client und Service zur Gewährleistung von Vertraulichkeit und Datenintegrität verschlüsselt abläuft. Die angesprochene Authentifizierung verläuft über eine vertrauenswürdige dritte Partei, dem sogenannten Kerberos-Server. Ebenfalls wird Single Sign-On, ein weit verbreitetes Merkmal von Identity Management Systemen, unterstützt, indem der Client sich einmalig am Kerberos-Server anmeldet, der dann die weiteren Authentifizierungen übernimmt.
Innerhalb der Kerberos-Spezifikation wird der Begriff „Realm“ benutzt. Hiermit ist grundsätzlich ein Administrationsbereich gemeint, für den immer ein Kerberos-Server zuständig ist. Ein Client oder Service kann immer nur einem Administrationsbereich angehören. Um auf Dienste eines anderen Realms zugreifen zu können, müssen zuvor Vertrauensbeziehungen zwischen den einzelnen Realms hergestellt werden.
Kerberos wurde Anfang der Achtziger im Rahmen des „Projekt Athena“ am MIT entwickelt. Aktuell besteht Kerberos in der Version 5 und ist im RFC 4120 spezifiziert.