← Tüm terimler
Kerberos

Kerberos nedir?

Kerberos, kullanıcı ve servislerin parolalarını ağ üzerinden göndermeden kimliklerini kanıtlamasını sağlayan bilet tabanlı bir ağ kimlik doğrulama protokolüdür.

Son güncelleme: 14 Temmuz 2026

Kerberos nasıl çalışır

Kerberos, Anahtar Dağıtım Merkezi (KDC) adlı güvenilir bir üçüncü tarafın etrafında döner; Active Directory ortamlarında KDC her etki alanı denetleyicisinde bulunur. Kullanıcı oturum açtığında istemci, parolayı bildiğini kriptografik olarak kanıtlar ve yalnızca KDC'nin okuyabileceği biçimde şifrelenmiş, süreli bir kimlik bilgisi olan bilet verme bileti (TGT) alır. Parolanın kendisi ağı hiç geçmez.

Dosya paylaşımı veya intranet sitesi gibi bir servise ulaşmak için istemci, TGT'sini KDC'ye sunar ve o servise özel bir servis bileti ister. Servis bileti, servis hesabının sırrından türetilen bir anahtarla şifrelenir; böylece servis bileti çözebilir ve içindeki kimliğe KDC'ye başvurmadan güvenebilir. Biletler zaman damgası ve ömür taşır; Kerberos'un saatlerin eşitlenmesini şart koşmasının nedeni budur. Karşılıklı kimlik doğrulama, istemcinin servisi de doğrulamasına imkân verir.

Kerberos neden önemli

Kerberos, Windows etki alanının kimlik doğrulama motorudur ve etki alanına katılmış makinelerin kesintisiz tek oturum açma sunmasının nedenidir: kullanıcı bilgisayarında bir kez oturum açar; dosya sunucularına, yazıcılara, intranet uygulamalarına ve SQL Server örneklerine tekrar sorulmadan ulaşır. Tümleşik Windows Kimlik Doğrulaması (IWA) olarak görünen bu masaüstü ve tarayıcı deneyimi, web SSO'dan onlarca yıl eskidir ve AD'ye katılmış Linux sistemleri dahil devasa bir kurulu tabanı hâlâ kapsar.

Tasarımı, anlaşılması gereken iki ucu keskin bir kılıçtır. Servis biletleri, servis hesabı parolalarından türetilen anahtarlarla şifrelendiğinden, zayıf parolalar Kerberoasting saldırısına imkân verir: herhangi bir etki alanı kullanıcısı bilet ister ve bunları çevrimdışı kırar. KDC'nin krbtgt hesabının ele geçirilmesi ise Golden Ticket sahteciliğine yol açar; anahtar iki kez döndürülene dek saldırgana istediği kimliği verir. Kerberos'u savunmak; uzun ve rastgele servis hesabı parolaları, modern şifreleme türleri ve anormal bilet hareketlerinin izlenmesi demektir.

Uygulamada Kerberos

Etki alanı içinde SPN'ler (servis asıl adları) doğru kaydedildiği ve saatler eşit olduğu sürece Kerberos çoğunlukla kendiliğinden çalışır; yanlış yapılandırılmış SPN'ler ve daha zayıf NTLM protokolüne sessiz geri dönüşler klasik sorun kaynaklarıdır. NTLM'in hâlâ nerede kullanıldığını denetleyip kaldırmak yaygın bir sıkılaştırma projesidir.

Stratejik soru, Kerberos'un modern kimlikle nasıl bir arada yaşayacağıdır. Bulut uygulamaları onu konuşmaz; bu yüzden kurumlar iki dünyayı köprüler: masaüstündeki Kerberos oturumu bir federasyon platformu için ilk faktör olur ve platform geri kalan her şey için SAML veya OIDC jetonları üretir. Monosign, tam da bu köprünün parçası olarak Kerberos tabanlı tümleşik Windows kimlik doğrulamasını destekler ve etki alanına katılmış kullanıcıları kimlik bilgilerini yeniden yazmadan modern SSO'ya taşır.

Sık sorulan sorular

Kerberos ile NTLM arasındaki fark nedir?
İkisi de Windows ağlarında kullanıcı doğrular; ancak Kerberos daha yeni ve daha güçlüdür: bilet kullanır, karşılıklı kimlik doğrulamayı destekler ve servisler her oturum için etki alanı denetleyicisine başvurmadığından daha iyi ölçeklenir. NTLM, geriye dönük uyumluluk için tutulan bir challenge-response protokolüdür; relay ve pass-the-hash saldırılarına daha açıktır, bu yüzden güncel öneri kullanımını en aza indirmektir.
Kerberos Windows dışında çalışır mı?
Evet. Kerberos, Windows benimsemeden önce MIT'de doğmuştur; Linux, macOS ve Java ekosistemleri için uygulamaları vardır. Linux sunucular SSSD ile Active Directory etki alanlarına düzenli olarak katılır ve kullanıcıları Kerberos ile doğrular; Hadoop ailesindeki büyük veri platformları da küme güvenliği için onu kullanır.
Kerberos neden eşitlenmiş saatler gerektirir?
Biletler ve doğrulayıcılar, yakalanan bir mesajın sonradan yeniden gönderildiği tekrar saldırılarına karşı koruyan zaman damgaları taşır. İstemcinin saati izin verilen sapmanın (genellikle beş dakika) dışına kayarsa KDC isteklerini reddeder. Bu nedenle ortam genelinde güvenilir NTP, Kerberos için operasyonel bir ön koşuldur.