| Red Hat Linux 7.0: Das Offizielle Red Hat Linux Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 8 Verwenden von Kerberos 5 in Red Hat Linux | Vor |
Wie jedes andere System verfügt auch Kerberos über seine eigene Terminologie. Daher sollten Sie sich zunächst mit den im Folgenden aufgeführten Begriffen vertraut machen, bevor Sie sich mit der Funktionsweise von Kerberos beschäftigen:
ciphertext — verschlüsselte Daten
Client — Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Anwendung), das von Kerberos ein Ticket erhalten kann
Credential Cache oder Ticket File — Eine Datei, die die Keys für die Verschlüsselung der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enthält. Kerberos 5 stellt zwar einen Rahmen für die Verwendung anderer Cache-Typen (wie z.B. gemeinsam genutzten Speicher) zur Verfügung, allerdings werden Dateien besser unterstützt
Key — Ein Datenblock, der zum Verschlüsseln bzw. Entschlüsseln von Daten verwendet wird. Verschlüsselte Daten lassen sich ohne den richtigen Key nicht bzw. nur durch wirklich leistungfähige Programme zum Herausfinden von Passwörtern entschlüsseln
Key Distribution Center (KDC) — Ein Rechner, der Kerberos-Tickets ausgibt (manchmal auch als Ticket Granting Server oder TGS bezeichnet)
keytab — Kurzform für key table, eine Datei, die eine unverschlüsselte Liste aller Principals und ihrer Keys enthält. Server holen sich die benötigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardmäßige keytab-Datei ist /etc/krb5.keytab, wobei kadmind der einzige bekannte Dienst ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab)
Klartext — Unverschlüsselte Daten
Principal — Ein Benutzer oder Dienst, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format "root[/instance]@REALM". Bei einem typischen Benutzer entspricht root seiner Login-ID; instance ist dagegen optional. Wenn ein Principal über einen Instance verfügt, ist dieser von Root durch einen Schrägstrich ("/") getrennt. Bei dem leeren String ("") handelt es sich zwar um einen gültigen Instance (der sich vom Standardinstance NULL unterscheidet), allerdings kann seine Verwendung zu Verwirrung führen. Alle Principals innerhalb eines Realms verfügen über ihren eigenen Key, der sich entweder aus ihrem Passwort (bei Benutzern) ableitet oder nach dem Zufallsprinzip erzeugt wird (bei Diensten)
Realm (Gültigkeitsbereich) — Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer (potentiell sehr großen) Zahl von Clients besteht
Service (Dienst) — Ein Programm oder Computer auf das/den über das Netzwerk zugegriffen werden kann
Ticket — Ein temporärer Satz an elektronischen Berechtigungsnachweisen (Credentials), die die Identität eines Client für einen bestimmten Dienst verifizieren
Ticket Granting Ticket (TGT) — Ein spezielles Ticket, das es dem Client ermöglicht, zusätzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu müssen