Como su pregunta es bastante amplia, intentaré una respuesta igualmente amplia.
La autenticación se coloca a menudo en términos de un límite o ámbito de seguridad. Por ejemplo, una licencia de conducir emitida por el estado es una credencial que se usa para validar su identidad y tiene un alcance que tiene un significado final para el estado emisor (aunque otros pueden optar por confiar en esa credencial).
Un Reino Kerberos es, en términos generales, un modelo de alcance administrativo.
También puede comparar reinos con límites administrativos técnicos similares: un espacio de nombres DNS y sus subdominios ... o un espacio de nombres IP y sus subredes. Cada uno de estos tiene varias implicaciones técnicas, ya sea utilizar un espacio grande de nivel superior o crear un grupo de espacios más pequeños, pero una de sus funciones principales es modelar el alcance administrativo.
En el caso de Kerberos, el objetivo clave de los reinos es hacer que un espacio de administración más grande (por ejemplo, 10,000 o 100,000s de nombres de usuarios) sea más pequeño al dividirlos en subdominios a lo largo de los límites organizativos o funcionales.
Otras implicaciones importantes:
- capacidad para delegar la administración de un dominio a un grupo que no sea un grupo de administración central
- capacidad para distinguir un usuario de un reino de otro
- capacidad para dictar la política de confianza para los usuarios de un reino por otro (confianza entre dominios)
- capacidad para establecer parámetros de configuración en un reino que pueden diferir para otro
(Aparte: sucede que un Reino Kerberos puede coincidir con un dominio DNS. Esto no es necesario, pero puede facilitar el descubrimiento de los reinos Kerberos por parte del software y los usuarios del cliente, así como sugerir "bordes" naturales en los que para tallar su espacio de autenticación. Esto dependerá completamente de sus necesidades de autenticación / autorización)