Kerberos se diseñó para resolver un problema básico pero crítico: cómo confirmar identidad sin enviar la contraseña continuamente.
En una red con Active Directory, Kerberos actúa como la capa de autenticación principal:
- Tu cliente solicita acceso.
- El KDC valida tu identidad y emite un TGT.
- Con ese TGT pides un ticket de servicio para el recurso objetivo.
- El recurso acepta ese ticket solo si la identidad y permisos son válidos.
Este mecanismo reduce exposición de credenciales y habilita trazabilidad entre identidad y acceso.
¿Qué significa realmente “ticket”?
El ticket no es un permiso eterno.
Tiene vigencia y contexto: quién lo pidió, para qué servicio y con qué condiciones.
Si lo conectas con una buena segmentación, el ticket permite que una cuenta autorizada opere en tu alcance y no en todo el dominio.
Por qué importa en la práctica
En entornos con muchos sistemas heterogéneos, Kerberos ayuda a que:
- la autenticación sea consistente entre servidores y aplicaciones;
- el acceso se revise por roles, no por suposiciones;
- los controles de detección se apoyen en eventos de AD verificables;
- tu operación sea más predecible ante cambios o incidentes.
Qué vigilar para no perder el valor de Kerberos
Estas revisiones son de bajo costo y alto impacto:
- Revisar que los clientes y DC estén en horario sincronizado.
- Mantener políticas de cuentas de servicio con dueño definido y ciclo de rotación.
- Controlar cambios en SPN y en privilegios de delegación.
- Restringir acceso administrativo y evitar cuentas compartidas.
- Auditar los intentos de autenticación fallida y anómalos.
Dónde empezar sin “proyectos grandes”
Si no sabes por dónde iniciar, haz una revisión mínima esta semana:
- Confirma que tus sistemas clave ya usan cifrado de dominio moderno.
- Prioriza inventario de cuentas de servicio y propietario.
- Ajusta alertas para cambios de privilegio y de configuración de autenticación.
- Documenta un contacto de respuesta para cada incidente de acceso sospechoso.