Glossário IAM

O que é Kerberos?

Kerberos é o protocolo de autenticação baseado em tickets criptografados que serve de base para o single sign-on em ambientes Active Directory e em muitas redes corporativas.

Kerberos Glossário IAM

O que significa Kerberos?

Kerberos é um protocolo de autenticação de rede desenvolvido no MIT e padronizado pela IETF (RFC 4120). Usa criptografia simétrica e um terceiro confiável (Key Distribution Center, KDC) para autenticar usuários e serviços sem trafegar senhas. É o protocolo padrão de autenticação do Active Directory.

Como Kerberos funciona?

O usuário autentica uma vez no KDC e recebe um Ticket Granting Ticket (TGT). Para acessar um serviço, ele apresenta o TGT ao KDC e recebe um Service Ticket. Esse ticket prova a identidade ao serviço sem nova senha. Tudo é cifrado com chaves compartilhadas e timestamps para evitar replay.

Por que Kerberos é importante?

Em redes corporativas Microsoft, Kerberos é o que viabiliza o SSO transparente: você loga uma vez no Windows e acessa file shares, SQL Server, SharePoint e Exchange sem digitar senha de novo. É a espinha dorsal da experiência de identidade em ambientes Active Directory.

Componentes do Kerberos

  • KDC (Key Distribution Center): emite tickets; em AD, é o controlador de domínio.
  • AS (Authentication Server): parte do KDC que valida o login inicial.
  • TGS (Ticket Granting Service): parte do KDC que emite Service Tickets.
  • Principal: identidade (usuário ou serviço) registrada no KDC.
  • Realm: domínio de autenticação Kerberos.

Exemplo prático de Kerberos

Maria entra no Windows pela manhã com sua senha de domínio. O KDC emite um TGT que vive em memória. Quando Maria abre o SQL Server, o cliente pega o TGT, pede um Service Ticket para o serviço SQL, e autentica automaticamente — sem que Maria veja qualquer popup de senha. Essa é a experiência de SSO que Kerberos viabiliza há mais de 20 anos.

Riscos de segurança do Kerberos

Ataques famosos como Pass-the-Ticket, Golden Ticket e Kerberoasting exploram fraquezas operacionais (chaves de conta krbtgt antigas, senhas fracas em service principals, falta de monitoramento). Mitigações: rotação periódica do krbtgt, senhas longas em service accounts, AES como cifra padrão (não RC4), e alertas para tickets fora do padrão.

Kerberos e a era cloud

Kerberos foi desenhado para redes corporativas internas. Em ambientes cloud-first, dá lugar gradualmente a OAuth/OIDC. Ainda assim, em qualquer empresa com Active Directory tradicional, Kerberos continua relevante — e Entra ID oferece Kerberos cloud via Entra Domain Services.

Termos relacionados

Ir para o Glossário de IAM
Logo da AccessOne no rodapé

FORTALEZA
Av. Washington Soares, 3663, Torre 1, Salas 1107/1108, Edifício WSTC

SÃO PAULO
Alameda Vicente Pinzon, 54 • Vila Olímpia • 04547-130 • São Paulo • SP

Ícone do LinkedIn da AccessOne
Selo de segurança AccessOne

* Quadrante Mágico do Gartner de Identity and Access Governance de 2019. Gartner e Magic Quadrant são marcas comerciais ou marcas registradas de seus respectivos detentores. O uso delas não implica nenhuma afiliação ou endosso por parte deles. O documento é acessível para clientes registrados junto ao Gartner.
©️ AccessOne 2026. Todos os direitos reservados. Política de privacidade