Kerberos可以解決你的賬號管理方面的痛苦。在一個分布式的Uinux/Linux環境中，如果通過手工進行賬號管理，將變得復雜、混亂。大型站點使用特殊的工具來解決這個問題，在本文中，我敘述的是針對少量計算機的環境如何解決這個問題，如你家里的三太電腦組成的小網絡。

在一個分布式環境中的問題是，如果發生賬號改動的情況，每臺機器上的passwd文件和shadow文件需要一個一個地去修改，賬號改動包括修改密碼、添加/刪除賬號、賬號名修改（任何情況下，修改UID/GID是一個大問題）、添加/刪除登陸計算機的權限等。我也將敘述如何用Kerberos解決分布式計算環境中的認證問題，在第二部分，我將敘述一個解決認證問題的解決方案。

認證一個連接到計算機的用戶大多數是通過密碼來解決的，盡管有其他方法（包括智能卡和生物特征）是可用的，這些密碼存儲在/etc/passwd中，現在使用影子密碼，它存儲在/etc/shadow中，因為這些文件是在本地計算機上的，要保持是最新狀態是很大的一個問題，目錄服務如NIS、NIS+和LDAP能解決這個問題，但是這些服務引入了新的問題：它們工作在網絡上，密碼也是暴露在網絡上的，它們只使用了很弱的加密。

通過Kerberos實施的認證協議聯合網絡服務的優勢，完全不需要在兩臺計算機之間傳輸密碼了，要實現這個，Kerberos需要你在一個安全的服務器上運行兩個后臺進程，密鑰分發中心（KDC）后臺進程處理所有的密碼驗證請求，并生成Kerberos證書，叫做憑證授予憑證（TGT），第二個后臺進程，Kerberos管理進程，它允許你遠程添加、刪除和修改賬號，而不用登陸到運行Kerberos管理進程的計算機上，它也處理來自用戶的密碼修改請求，使用Kerberos，只有一個密碼修改需要通過網絡傳輸一個強壯的加密密碼。

在認證用戶的過程中，Kerberos KDC給用戶授予一個臨時的證書，TGT，典型地，這些證書有10或24小時的有效期，這個有效期是可以配置的，但是不能超過24小時，萬一TGT被偷，小偷只能在TGT的有效期時間內使用，如果你只使用Kerberos進行身份認證，證書失效了不會引起問題，但是，如果你正在使用Kerberized服務，你需要培訓你的用戶在他們目前的證書失效后獲取新的證書，即使他們仍然可以登陸。

Kerberos是在MIT創造出來的，最新的版本是Kerberos 5，它的協議定義在RFC 1510。今天，Kerberos有兩個實現是可用的，參考文章后面的資源。MIT的Kerberos 5包括在Red Hat Linux中，而Heimdal包括在SuSe和Debian Linux發行版中，Kerberos 5實現也包括在微軟的windows（2000以及更高版本）、Sun的Solaris（SEAM，Solaris2.6及更高版本）和Apple的Mac OS X中，我使用MIT的Kerberos發布版貫穿本文，因為它提供了簡單密碼質量檢查功能，密碼老化和密碼歷史，這些功能都是開箱即用的。