ユーザは、ワークステーションへのログイン時に1回だけ、Kerberosと情報のやり取りを行うのが理想です。ログイン処理には、ticket-grantingチケットの取得処理も含まれています。ログアウト時に、ユーザのKerberosチケットは自動的に破棄されます。そのため、他人がそのユーザになりすますことは困難です。チケットには有効期限があるため、ユーザのログインセッションがticket-grantingチケットのライフタイム(一般的に10時間)より長くなった場合は、それが問題になることがあります。ただし、kinitを実行すれば、新しくticket-grantingチケットを入手することができます。この場合、パスワードをもう一度入力すれば、Kerberosにより目的のサービスへのアクセスチケットを入手できます。サービスに対して認証を行う必要はありません。Kerberosにより入手されたチケットのリストを表示するには、klistを実行してください。
ここには、Kerberos認証を利用するアプリケーションの一例を記載しています。これらのアプリケーションは、/usr/lib/mit/binまたは/usr/lib/mit/sbinディレクトリにあります。これらのアプリケーションには、通常のUNIX/Linuxが提供する機能に加えて、Kerberosが管理する透過的な認証手段を利用できるという利点があります。
telnet、telnetd
rlogin
rsh、rcp、rshd
ftp、ftpd
ksu
これらのアプリケーションを利用する場合、KerberosによりIDが証明されているため、いちいちパスワードを入力する必要はありません。sshの場合、Kerberosサポートによりコンパイルされていれば、取得したすべてのチケットをあるワークステーションから別のワークステーションに転送することもできます。sshを使って他のワークステーションにログインした場合、暗号化されたチケットの内容を、その環境に合わせてsshが調整します。チケットにはワークステーション固有の情報(IPアドレス)が含まれているため、単にワークステーション間でチケットをコピーしても、それを利用することはできません。XDM、GDM、およびKDMも、Kerberosをサポートしています。Kerberosネットワークアプリケーションの詳細は、http://web.mit.edu/kerberosにある『Kerberos V5 UNIX User's Guide』を参照してください。