Связь между Kerberos–областями.
Как уже было сказано выше, при использовании Kerberos–серверов сеть делится на области действия Kerberos. Схема доступа клиента, находящегося в области действия одного Kerberos–сервера, к ресурсам сети, расположенным в области действия другого Kerberos, осуществляется следующим образом. Оба Kerberos-сервера должны быть обоюдно зарегистрированы, то есть знать общие секретные ключи и, следовательно, иметь доступ к базам пользователей друг друга. Обмен этими ключами между Kerberos–серверами (для работы в каждом направлении используется свой ключ) позволяет зарегистрировать сервер выдачи разрешений каждой области как клиента в другой области. После этого клиент, требующий доступа к ресурсам, находящимся в области действия другого Kerberos–сервера, может получить разрешение от сервера выдачи разрешений своего Kerberos по описанному выше алгоритму. Это разрешение, в свою очередь, дает право доступа к серверу выдачи разрешений другого Kerberos–сервера и содержит в себе отметку о том, в какой Kerberos–области зарегистрирован пользователь. Удаленный сервер выдачи разрешений использует один из общих секретных ключей для расшифровки этого разрешения (который, естественно, отличается от ключа, используемого в пределах этой области) и при успешной расшифровке может быть уверен, что разрешение выдано клиенту соответствующей Kerberos–области. Полученное разрешение на доступ к ресурсам сети предъявляется целевому серверу для получения соответствующих услуг. Следует, однако, учитывать, что большое число Kerberos–серверов в сети ведет к увеличению количества передаваемой идентификационной информации при связи между разными Kerberos–областями. При этом увеличивается нагрузка на сеть и на сами Kerberos–серверы. Поэтому более эффективным следует считать наличие в большой сети всего нескольких Kerberos–серверов с большими областями действия, нежели использование множества Kerberos–серверов. Так, Kerberos-система, установленная компанией Digital Equipment для большой банковской сети, объединяющей отделения в Нью-Йорке, Париже и Риме, имеет всего один Kerberos–сервер. При этом, несмотря на наличие в сети глобальных коммуникаций, работа Kerberos–системы практически не отразилась на производительности сети.