Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 18. Kerberos | Nach vorne |
Wie jedes andere System verfügt Kerberos über seine eigene Terminologie zur Definition verschiedener Aspekte des Dienstes. Ehe die Funktionsweise des Dienstes erläutert wird, sollten Sie mit folgenden Begriffen vertraut sein.
Ein Server, der Tickets für einen gewünschten Service ausstellt, die wiederum an Benutzer für den Zugang zu einem Service weitergegeben werden. Der AS antwortet auf Anfragen von Clients, die keine Berechtigungen haben oder keine versenden. Es wird gewöhnlicherweise für den Zugang zum Ticket-granting Server (TGS) Service verwendet, indem ein Ticket-granting Ticket (TGT) ausgestellt wird. Der AS läuft auf dem gleichen Host wie das Key Distribution Center (KDC).
Verschlüsselte Daten.
Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Applikation), das von Kerberos ein Ticket erhalten kann.
Ein temporärer Satz an elektronischen Berechtigungsnachweisen, die die Identität eines Client für einen bestimmten Dienst verifizieren. Auch als Ticket bezeichnet.
Eine Datei, die die Schlüssel zum Verschlüsseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 unterstützt einen Rahmen für die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterstützt.
Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als unverschlüsselte Daten ist, ist das Entschlüsseln für einen erfahrenen Hacker ein Kinderspiel.
Das Generic Security Service Application Program Interface (definiert in RFC-2743 und herausgegeben von der Internet Engineering Task Force) ist eine Sammlung von Funktionen, die Sicherheitsservices bereitstellen. Clients können mit diesenFunktionen Services authentifizieren, und genauso können Services Clients authentifizieren, ohne das diese Programme ein spezifisches Wissen der zugrundeliegenden Mechanismen benötigen. Sollte ein Netzwerk-Service (wie IMAP) die GSS-API verwenden, kann dieser mittels Kerberos authentifizieren.
Eine Zahl, die aus Text generiert wurde, und dazu verwendet wird, sicherzustellen, dass die übertragenen Daten nicht kompromittiert wurden.
Daten, die zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet werden. Verschlüsselte Daten lassen sich ohne den richtigen Schlüssel nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln.
Ein Dienst, der Kerberos-Tickets ausgibt, und normalerweise auf dem gleichen Host wie der Ticket Granting Server (TGS) ausgeführt wird.
Eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Schlüssel enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).
Der Befehl kinit erlaubt einem Principal, der bereits angemeldet ist, das anfängliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Weitere Informationen zur Verwendung des Befehls kinit finden Sie auf dessen man-Seite.
Der Principal Name oder Principal ist ein eindeutiger Name für einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, während instance optional ist. Wenn der Principal über eine Instanz verfügt, ist diese von root durch einen Schrägstrich ("/") getrennt. Bei einem leerem String ("") handelt es sich zwar um eine gültige Instanz (die sich von der Standardinstanz NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über einen eigenen Schlüssel, der sich für Benutzeraus derem Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.
Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr großen Zahl von Clients besteht.
Ein Programm, auf das über das Netzwerk zugegriffen wird.
Ein temporärer Satz elektronischer Berechtigungsnachweise, die die Identität eines Client für einen bestimmten Dienst verifizieren. Auch Berechtigungsnachweis genannt.
Ein Server, der Benutzern der Reihe nach Tickets für den Zugriff auf den gewünschten Service ausgibt. TGS wird üblicherweise auf demselben Host wie KDC ausgeführt.
Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen.
Ein im Klartext lesbares Passwort.
Zurück | Zum Anfang | Nach vorne |
Kerberos | Nach oben | Funktionsweise von Kerberos |