Kerberos基於對稱密鑰加密技術，並且需要受信任的第三方，並且可以選擇在身份驗證的某些階段使用公共密鑰加密技術。Kerberos默認使用UDP端口88。（維基百科）

身份驗證服務（AS）交換（The Authentication Service (AS) Exchange）
客戶端與Kerberos身份驗證服務器之間的身份驗證服務（AS）交換是由客戶端在希望獲取給定服務器的身份驗證憑據時啟動的，但當前不保存任何憑據。客戶端的密鑰以其基本形式用於加密和解密。通常在登錄會話啟動時使用此交換來獲取票證授予服務器的憑證，該憑證隨後將用於獲得其他服務器的憑證，而無需進一步使用客戶端的秘密密鑰。
此交換還用於請求憑據的服務，這些憑據必須不通過票務授予服務進行調解，而需要了解委託人的秘密密鑰，例如密碼更改服務（除非請求者要求，否則密碼更改服務會拒絕請求可以證明用戶的舊密碼知識；要求此知識可防止有人走到無人值守的會話時未經授權更改密碼）。
這種交換本身並不提供用戶身份的任何保證。為了對登錄到本地系統的用戶進行身份驗證，可以首先在TGS交換中使用在AS交換中獲取的憑據，以獲取本地服務器的憑據。然後，這些憑據必須由本地服務器通過成功完成客戶端/服務器交換來驗證。
在AS交換由兩個消息：從客戶端向KRB_AS_REQ Kerberos和KRB_AS_REP或KRB_ERROR答复。
在請求中，客戶端以明文形式發送其自身的身份以及為其請求憑據的服務器的身份，有關其正在請求的憑據的其他信息以及隨機生成的隨機數（可用於檢測重播和重發）。將回復與匹配的請求相關聯。此隨機數必須由客戶端隨機生成，並記住以檢查預期答復中的隨機數。
響應KRB_AS_REP包含供客戶端呈現給服務器的票證，以及將由客戶端和服務器共享的會話密鑰。會話密鑰和其他信息在客戶端的秘密密鑰中加密。KRB_AS_REP消息的加密部分還包含必須與KRB_AS_REQ消息中的隨機數匹配的隨機數。
沒有預身份驗證，身份驗證服務器將不知道客戶端是否實際上是請求中指定的主體。它只是發送一個答复，而不會知道或關心它們是否相同。這是可以接受的，因為除了在請求中給出身份的委託人以外，其他任何人都不能使用回复。它的關鍵信息在該主體的密鑰中被加密。但是，攻擊者可以發送KRB_AS_REQ消息來獲取已知的明文，以攻擊主體的密鑰。特別是如果密鑰是基於密碼的，則可能會產生安全隱患。因此，初始請求支持一個可選字段，該字段可用於傳遞初始交換可能需要的其他信息。該字段應該用於預認證。
來源：RFC 4120 – Kerberos網絡身份驗證服務（V5）

參考
. 使用Kerberos登錄Windows
. Kerberos和Windows安全系列
. Kerberos Wireshark捕獲：Windows登錄示例
. Kerberos和Windows安全性：Kerberos v5協議
. 網絡BIOS

資料來源： Wentz Wu QOTD-20210113