Dato che la tua domanda è piuttosto ampia, tenterò una risposta altrettanto ampia.
L'autenticazione viene spesso messa in termini di un limite di sicurezza o di un ambito. Ad esempio, una patente di guida rilasciata dallo Stato è una credenziale utilizzata per convalidare la tua identità e ha il fine di avere un significato in ultima analisi per lo Stato di emissione (anche se altri potrebbero scegliere di fidarsi di tale credenziale).
Un dominio Kerberos è, a grandi linee, una modellazione dell'ambito amministrativo.
Potresti anche paragonare i reami a confini amministrativi tecnici simili: uno spazio dei nomi DNS e i suoi sottodomini ... o uno spazio dei nomi IP e le sue sottoreti. Ognuno di questi ha diverse implicazioni tecniche sull'utilizzo di uno spazio di grandi dimensioni di alto livello o sulla creazione di un gruppo di spazi più piccoli, ma una delle funzioni principali consiste nel modellare l'ambito amministrativo.
Nel caso di Kerberos, l'obiettivo principale dei reami è di ridurre lo spazio amministrativo (diciamo 10.000 o 100.000 di nomi utente) dividendoli in sotto-regni lungo i confini organizzativi o funzionali.
Altre importanti implicazioni:
- possibilità di delegare l'amministrazione di un dominio a un gruppo diverso da un gruppo di amministrazione principale
- capacità di distinguere un utente di un reame da un altro
- capacità di dettare la politica di fiducia per gli utenti di un regno da un altro (trust tra domini)
- possibilità di impostare i parametri di configurazione su un dominio che potrebbe differire per un altro
(a parte: succede che un Kerberos Realm possa coincidere con un dominio DNS .Questo non è richiesto, ma può rendere più semplice la scoperta dei regni di Kerberos da parte del software client e degli utenti, oltre a suggerire "bordi" naturali in cui per ritagliare il tuo spazio di autenticazione, che dipenderà interamente dalle tue esigenze di autenticazione / autorizzazione)