17.2. Terminologie Kerberos

Kerberos dispose de sa propre terminologie pour définir différents aspects du service. Avant d'évoquer la manière dont Kerberos fonctionne, il convient de se familiariser avec les termes suivants:

ciphertext

Données cryptées.

client

Entité sur le réseau (utilisateur, hôte ou application) pouvant obtenir un ticket Kerberos.

cache de certificat d'identité ou fichier de ticket

Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge de cette façon.

hache crypté

Hache unidirectionnel utilisé pour l'authentification des utilisateurs. Plus sûr que le texte clair, mais relativement facile à décoder pour un pirate expérimenté.

GSS-API

'Generic Security Service Application Program Interface' (GSS-API) [RFC-2743] est un ensemble de fonctions fournissant des services de sécurité. Les clients peuvent les utiliser pour leur authentification auprès des serveurs et les serveurs peuvent peuvent y avoir recours pour leur authentification auprès des clients sans devoir comprendre le mécanisme de fonctionnement sous-jacent. Si un service de réseau (comme IMPAP) utilise GSS-API, il peut se servir de Kerberos pour des besoins d'authentification.

clé

Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée, à moins d'être un génie en devinettes.

Key Distribution Center (KDC)

Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le Serveur d'émission de tickets.

table clé ou keytab

Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab).

kinit

La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le Ticket d'émission de tickets (TGT) initial. Pour de plus amples informations sur l'utilisation de la commande kinit, consultez sa page de manuel.

principal

Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a la forme root[/instance]@REALM. Pour un utilisateur ordinaire, la variable root correspond à l'ID de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant ("/"). Une chaîne vide ("") estconsidérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services.

realm

Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients.

service

Programme accessible via le réseau.

ticket

Ensemble temporaire de certificats d'identité électroniques indiquant l'identité d'un client pour un service particulier.

Service d'émission de tickets (Ticket Granting Service, TGS)

Serveur délivrant les tickets pour un service demandé que l'utilisateur doit ensuite employer pour accéder au service en question. TGS fonctionne en général sur le même hôte que KDC.

Ticket d'émission de tickets (Ticket Granting Ticket, TGT)

Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC.

mot de passe non crypté

Un mot de passe en texte clair, lisible par quiconque.