18.2. Kerberos-Terminologie

Wie jedes andere System verfügt Kerberos über seine eigene Terminologie zur Definition verschiedener Aspekte des Dienstes. Ehe die Funktionsweise des Dienstes erläutert wird, sollten Sie mit folgenden Begriffen vertraut sein.

Authentifizierungs-Server (AS)

Ein Server, der Tickets für einen gewünschten Service ausstellt, die wiederum an Benutzer für den Zugang zu einem Service weitergegeben werden. Der AS antwortet auf Anfragen von Clients, die keine Berechtigungen haben oder keine versenden. Es wird gewöhnlicherweise für den Zugang zum Ticket-granting Server (TGS) Service verwendet, indem ein Ticket-granting Ticket (TGT) ausgestellt wird. Der AS läuft auf dem gleichen Host wie das Key Distribution Center (KDC).

ciphertext

Verschlüsselte Daten.

Client

Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Applikation), das von Kerberos ein Ticket erhalten kann.

Berechtigungen

Ein temporärer Satz an elektronischen Berechtigungsnachweisen, die die Identität eines Client für einen bestimmten Dienst verifizieren. Auch als Ticket bezeichnet.

Credential-Cache oder Ticket-Datei

Eine Datei, die die Schlüssel zum Verschlüsseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 unterstützt einen Rahmen für die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterstützt.

Crypt-Hash

Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als unverschlüsselte Daten ist, ist das Entschlüsseln für einen erfahrenen Hacker ein Kinderspiel.

GSS-API

Das Generic Security Service Application Program Interface (definiert in RFC-2743 und herausgegeben von der Internet Engineering Task Force) ist eine Sammlung von Funktionen, die Sicherheitsservices bereitstellen. Clients können mit diesenFunktionen Services authentifizieren, und genauso können Services Clients authentifizieren, ohne das diese Programme ein spezifisches Wissen der zugrundeliegenden Mechanismen benötigen. Sollte ein Netzwerk-Service (wie IMAP) die GSS-API verwenden, kann dieser mittels Kerberos authentifizieren.

Hash

Eine Zahl, die aus Text generiert wurde, und dazu verwendet wird, sicherzustellen, dass die übertragenen Daten nicht kompromittiert wurden.

Key (Schlüssel)

Daten, die zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet werden. Verschlüsselte Daten lassen sich ohne den richtigen Schlüssel nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln.

Key Distribution Center (KDC)

Ein Dienst, der Kerberos-Tickets ausgibt, und normalerweise auf dem gleichen Host wie der Ticket Granting Server (TGS) ausgeführt wird.

Key Table oder Keytab

Eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Schlüssel enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).

kinit

Der Befehl kinit erlaubt einem Principal, der bereits angemeldet ist, das anfängliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Weitere Informationen zur Verwendung des Befehls kinit finden Sie auf dessen man-Seite.

Principal

Der Principal Name oder Principal ist ein eindeutiger Name für einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, während instance optional ist. Wenn der Principal über eine Instanz verfügt, ist diese von root durch einen Schrägstrich ("/") getrennt. Bei einem leerem String ("") handelt es sich zwar um eine gültige Instanz (die sich von der Standardinstanz NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über einen eigenen Schlüssel, der sich für Benutzeraus derem Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.

Realm

Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr großen Zahl von Clients besteht.

Service

Ein Programm, auf das über das Netzwerk zugegriffen wird.

Ticket

Ein temporärer Satz elektronischer Berechtigungsnachweise, die die Identität eines Client für einen bestimmten Dienst verifizieren. Auch Berechtigungsnachweis genannt.

Ticket Granting Server (TGS)

Ein Server, der Benutzern der Reihe nach Tickets für den Zugriff auf den gewünschten Service ausgibt. TGS wird üblicherweise auf demselben Host wie KDC ausgeführt.

Ticket Granting Ticket (TGT)

Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen.

Unverschlüsseltes Passwort

Ein im Klartext lesbares Passwort.