Wie jedes andere System verfügt Kerberos über seine eigene Terminologie zur Definition verschiedener Aspekte des Dienstes. Ehe die Funktionsweise des Dienstes erläutert wird, sollten Sie mit folgenden Begriffen vertraut sein.
Verschlüsselte Daten.
Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Anwendung), das von Kerberos ein Ticket erhalten kann.
Eine Datei, die die Schlüssel zum Verschlüsseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 unterstützt einen Rahmen für die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterstützt.
Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als Klartext ist, ist das Entschlüsseln für einen erfahrenen Hacker ein Kinderspiel.
Die generische API des Sicherheitsservice [RFC-2743] ist eine Sammlung von Funktionen, welche Sicherheitsservices bereitstellen. Clients können diese Funktionen benutzen um zu Servern, und Server können diese Funktionen benutzen um zu Clients zu authentifizieren, ohne ein spezifisches Wissen der zugrundeliegenden Mechanismen zu benötigen. Sollte ein Netzwerk-Service (wie IMAP) die GSS-API verwenden, kann dieser unter Verwendung von Kerberos authentifizieren.
Daten, die zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet werden. Verschlüsselte Daten lassen sich ohne den richtigen Schlüssel nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln.
Ein Dienst, der Kerberos-Tickets ausgibt (normalerweise auf dem gleichen Host wie Ticket Granting Server)
Eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Schlüssel enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).
Der Befehl kinit erlaubt einem Principal, welcher bereits angemeldet ist, das anfängliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Für mehr zur Verwendung des Befehls kinit, sehen Sie dessen man-Seite.
Ein eindeutiger Name für einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, während instance optional ist. Wenn der Principal über eine Instanz verfügt, ist diese von root durch einen Schrägstrich ("/") getrennt. Bei leerem String ("") handelt es sich zwar um eine gültige Instanz (die sich von der Standardinstance NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über deren eigenen Schlüssel, welcher sich entweder aus deren Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.
Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr großen Zahl von Clients besteht.
Ein Programm, auf das über das Netzwerk zugegriffen wird.
Ein temporärer Satz an elektronischen Berechtigungsnachweisen, die die Identität eines Client für einen bestimmten Dienst verifizieren.
Ein Server, der Benutzern der Reihe nach Tickets für den Zugriff auf den gewünschten Service ausgibt. TGS wird üblicherweise auf demselben Host wie KDC ausgeführt.
Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen.
Ein im Klartext lesbares Passwort.
Zurück | Zum Anfang | Vor |
Kerberos | Zum Kapitelanfang | Funktionsweise von Kerberos |