| Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 9 Verwenden von Kerberos 5 in Red Hat Linux | Vor |
Wie jedes andere System verfügt auch Kerberos über seine eigene Terminologie. Daher sollten Sie sich zunächst mit den im Folgenden aufgeführten Begriffen vertraut machen, bevor Sie sich mit der Funktionsweise von Kerberos beschäftigen:
Verschlüsselte Daten.
Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Anwendung), das von Kerberos ein Ticket erhalten kann.
Credential Cache oder Ticket-Datei — Eine Datei, die die Keys für die Verschlüsselung der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 stellt zwar einen Rahmen für die Verwendung anderer Cache-Typen (wie z.B. gemeinsam genutzten Speicher) zur Verfügung, allerdings werden Dateien besser unterstützt
Daten, die zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet werden. Verschlüsselte Daten lassen sich ohne den richtigen Key nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln
Ein Service, der Kerberos-Tickets ausgibt (normalerweise auf dem gleichen Host wie Ticket Granting Server).
keytab — Kurzform für key table , eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Keys enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei kadmind der einzige bekannte Dienst ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).
Unverschlüsselte Daten.
Ein Benutzer oder Dienst, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format "root[/instance] @REALM". Bei einem typischen Benutzer entspricht root seiner Login-ID; instance ist dagegen optional. Wenn ein Principal über einen Instance verfügt, ist dieser von Root durch einen Schrägstrich ("/") getrennt. Bei leerem String ("") handelt es sich zwar um einen gültigen Instance (der sich vom Standardinstance NULL unterscheidet), allerdings kann seine Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über ihren eigenen Key, der sich entweder aus ihrem Passwort (bei Benutzern) ableitet oder nach dem Zufallsprinzip erzeugt wird (bei Diensten).
Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer (potentiell sehr großen) Zahl von Clients besteht.
Ein Programm oder Computer auf das/den über das Netzwerk zugegriffen werden kann.
Ein temporärer Satz an elektronischen Berechtigungsnachweisen (Credentials), die die Identität eines Client für einen bestimmten Dienst verifizieren
Vergibt Tickets für einen angeforderten Service, die vom Benutzer verwendet werden, um Zugang zu diesem Service zu erhalten. TGS wird üblicherweise auf dem gleichen Host wie KDC ausgeführt.
Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen.