Kerberosにも様々なサービスを定義するための独自の用語があります。Kerberosの機能を理解する前に 知っておく必要のある用語を以下に示します。
サーバーが目的のサービスのためにチケットを発行すると、次に、 そのサービスへのアクセスのためにそのチケットがユーザーに与えられます。 認証サーバーは、要求に証明書がないまたは証明書を送信しないクライアントからの要求に応えます。 通常、TGT (Ticket-granting Ticket) を発行して TGS (Ticket-granting Server) にアクセスするために使用されます。 認証サーバーは、通常、KDC (Key Disstribution Center) と同じホストで動作します。
暗号化されたデータ。
Kerberosからチケットを受け取ることができるネットワーク上の実体 (ユーザー、ホスト、アプリケーションなど)。
特定のサービスに関してクライアントの身元を識別する一時的な電子証明書のセット。 チケットとも呼ばれる。
ユーザーと各種ネットワークサービスの間の通信を暗号化するための鍵を含むファイル。 Kerberos 5は、その他のキャッシュタイプ(たとえば共有メモリ)を使用するための枠組みを提供しますが、 ファイルの方が徹底してサポートされています。
ユーザの認証に使う一方向ハッシュ。 暗号化していないデータより安全だが、経験豊富なクラッカーには容易に解読される。
汎用セキュリティサービスアプリケーションプログラムインターフェイス (The Generic Security Service Application Program Interface - The Internet Engineering Task Force公示の RFC-2743 に定義されている) は、 一連の機能セットでセキュリティサービスを提供しています。 プログラムが裏で動作している仕組みを知らなくても、 クライアントとサーバーがお互いに認証し合うために、 このAPIはクライアント及びサーバーによって使用されます。 ネットワークサービス(IMAPなど)がGSS-APIを使用する場合、 そのネットワークサービスはKerberosを使って認証することができます。
テキストから生成された数字で、送信データに手が加えられていないことを確認するために使用
データを暗号化/複号化する際に使用されるデータ。暗号化されたデータの復号化は、 正しい鍵 (又は 超越した想像力)なしでは不可能です。
Kerberosのチケットを発行するサービス。 通常、TGS (Ticket Granting Server) と同一のホスト上で動作します。
暗号化されていないプリンシパルとその鍵の一覧を含むファイル。サーバーは、 kinitを使用せずに、keytabファイルから必要な鍵を取り出します。 デフォルトのkeytabファイルは/etc/krb5.keytabです。 KDC 管理サーバ、/usr/kerberos/sbin/kadmindのみが、その他のファイルを使用 するサービスです。(それは/var/kerberos/krb5kdc/kadm5.keytabを使用します)。
ログインしているプリンシパルはkinitコマンドにより、 最初の TGT (Ticket Granting Ticket)を取得してキャッシュに保存することができます。 kinit コマンドの使用方法についての詳細は、 kinit コマンドの man ページを参照してください。
プリンシパル名またはプリンシパルとは、 Kerberos を使用して認証できるユーザーやサービスの固有の名前。 プリンシパル名の形式は、root[/instance]@REALMとなる。 一般的なユーザーの場合、rootは、ユーザーのログインIDと等しくなる。 instanceは、オプション。 プリンシパルが1つのインスタンスを持つ場合、インスタンスとrootをスラッシュ("/")で区切る。 空の文字列("")も実際には有効なインスタンスとみなされるが(デフォルトのNULL インスタンスとは異なる)、 使用すると混乱することがある。1つのrealmに属するすべてのプリンシパルは独自の鍵を持つ。 ユーザー用のその鍵はパスワードから導き出されるか、サービス用にランダムに設定される。
Kerberosを使用したネットワーク。KDCと呼ばれる一台または少数台のサーバーと非常に多数になる 可能性のあるクライアントから構成されます。
ネットワーク経由でアクセスされるプログラム。
特定のサービスに関してクライアントの身元を識別する一時的な電子証明書のセット。 証明書とも呼ばれる。
サーバーが目的のサービスのためにチケットを発行すると、次に、 そのサービスへのアクセスのためにそのチケットがユーザーに与えられる。 TGS は、通常、KDCと同一のホスト上で動作する。
あらためてKDCに対して要求しなくても、クライアントが追加のチケットを取得できるようにする特殊なチケット。
プレインテキストの、人間に読み取れるパスワード。