Сначала вам нужен еще один термин: «Принцип Kerberos».Вы можете сказать, что это «полное имя пользователя».Если вы используете пароли для аутентификации (а не что-то более безопасное, например, смарт-карты), ваш «пароль Kerberos» - это пароль, используемый для аутентификации вашего принципала Kerberos.
Оба используются для аутентификации пользователя на сервере AS = Authentication Server (пароль, конечно, никогда не отправляется в открытом виде!).Если аутентификация предоставлена, пользователь получает сессионный ключ.
Затем сессионный ключ используется для запроса TGT - вы пропустили этап аутентификации в своем резюме.Сервер аутентификации никогда не будет обрабатывать TGT, для этого предназначена служба предоставления билетов.(Даже если оба они реализованы на одной машине, они все еще являются независимыми службами.)
На самом деле все не так сложно;это в основном терминология.
Для начала прочитайте статью Википедии о Kerberos или посмотрите на некоторые диаграммы , например, или , .Для справки вы можете прочитать Обучающее руководство по Kerberos .(Также может представлять интерес Проектирование системы аутентификации: диалог в четырех сценах , объясняющий обоснование Kerberos, и "1019 *" Руководство Морона по Kerberos Брайана Тунга ".)
Я надеюсь, что ответит на все - если нет, пожалуйста, перефразируйте / обновите ваш вопрос.