Protocolo para autenticar usuários e criptografar informações, criando uma rede na qual em nenhum momento a senha possa ser furtada ou que um computador estranho possa invadi-la durante a comunicação sem a necessidade de ficar recolhendo dados constantemente durante o processo. É utilizado por meio de três servidores: O AS (servidor de autenticação), o TGS (Ticket Granting Server) e o servidor do serviço desejado.

A primeira fase, autenticação, se baseia em o cliente enviar um pedido para o AS com suas credenciais registradas e o pedido relacionado ao servidor desejado, que serão verificadas com base nos dados armazenados já no servidor AS.

Em caso positivo, o AS irá enviar um TGT (Ticket Granting Ticket) e uma chave criptográfica Cliente/TGS. O TGT contém informações especiais, que carrega as informações tanto do cliente como da própria rede que estavam contidos no servidor AS. Elas serão necessárias posteriormente pelo TGS, o servidor de tickets. Dentro deste ticket existirá um timestamp (marcação do tempo atual do servidor) para cortar a comunicação se ela ficar inativa por muito tempo, por exemplo, cinco minutos. Isto também é importante, pelo fato de o Kerberos contar os segundos entre um envio de uma mensagem para a outra, com o intuito de verificar se houve invasão ou se um dos parceiros na rede foi clonado ou derrubado.

A chave de sessão é criada e em 8 horas ela perderá o seu valor. O cliente envia o TGT recebido para o servidor TGS juntamente com o pacote das suas credenciais. Este é o intermediador entre o servidor de autenticação e os servidores que ofereceram serviços. O ticket estará chaveado de modo que somente o servidor de serviços poderá abri-lo. Depois, o cliente irá receber o ticket junto da chave de sessão Cliente/TGS. Ele irá descriptografar a chave recebida e, após, avisar o servidor TGS que acabou de fazê-lo. Envia o ticket de serviço para o serviço desejado, que irá descriptografá-lo e verificar se o timestamp ainda será válido. Se estas informações estiverem corretas, o serviço enviará uma mensagem para o KDC (Key Data Center) para receber uma chave sessão. Ela será direcionada ao cliente, que irá descriptografá-la e se tudo estiver correto, a comunicação será iniciada e continuará até o cliente interrompê-la ou a validade da sessão se esgotar.