17.2. Kerberos-Terminologie

Wie jedes andere System verfügt Kerberos über seine eigene Terminologie zur Definition verschiedener Aspekte des Dienstes. Ehe die Funktionsweise des Dienstes erläutert wird, sollten Sie mit folgenden Begriffen vertraut sein.

ciphertext

Verschlüsselte Daten.

Client

Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Anwendung), das von Kerberos ein Ticket erhalten kann.

Credential-Cache oder Ticket-Datei

Eine Datei, die die Schlüssel zum Verschlüsseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 unterstützt einen Rahmen für die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterstützt.

Crypt-Hash

Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als Klartext ist, ist das Entschlüsseln für einen erfahrenen Hacker ein Kinderspiel.

GSS-API

Die generische API des Sicherheitsservice [RFC-2743] ist eine Sammlung von Funktionen, welche Sicherheitsservices bereitstellen. Clients können diese Funktionen benutzen um zu Servern, und Server können diese Funktionen benutzen um zu Clients zu authentifizieren, ohne ein spezifisches Wissen der zugrundeliegenden Mechanismen zu benötigen. Sollte ein Netzwerk-Service (wie IMAP) die GSS-API verwenden, kann dieser unter Verwendung von Kerberos authentifizieren.

Key (Schlüssel)

Daten, die zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet werden. Verschlüsselte Daten lassen sich ohne den richtigen Schlüssel nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln.

Key Distribution Center (KDC)

Ein Dienst, der Kerberos-Tickets ausgibt (normalerweise auf dem gleichen Host wie Ticket Granting Server)

Key Table oder Keytab

Eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Schlüssel enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).

kinit

Der Befehl kinit erlaubt einem Principal, welcher bereits angemeldet ist, das anfängliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Für mehr zur Verwendung des Befehls kinit, sehen Sie dessen man-Seite.

Principal

Ein eindeutiger Name für einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, während instance optional ist. Wenn der Principal über eine Instanz verfügt, ist diese von root durch einen Schrägstrich ("/") getrennt. Bei leerem String ("") handelt es sich zwar um eine gültige Instanz (die sich von der Standardinstance NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über deren eigenen Schlüssel, welcher sich entweder aus deren Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.

Realm

Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr großen Zahl von Clients besteht.

Service

Ein Programm, auf das über das Netzwerk zugegriffen wird.

Ticket

Ein temporärer Satz an elektronischen Berechtigungsnachweisen, die die Identität eines Client für einen bestimmten Dienst verifizieren.

Ticket Granting Service (TGS)

Ein Server, der Benutzern der Reihe nach Tickets für den Zugriff auf den gewünschten Service ausgibt. TGS wird üblicherweise auf demselben Host wie KDC ausgeführt.

Ticket Granting Ticket (TGT)

Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen.

Unencrypted Password

Ein im Klartext lesbares Passwort.