Dokumentation3.1. Überblick
Wenn Sie neu bei Kerberos sind, sollten Sie einige Begriffe verstehen, bevor Sie einen Kerberos-Server einrichten. Die meisten Begriffe beziehen sich auf Dinge, mit denen Sie möglicherweise aus anderen Umgebungen vertraut sind:
• Schulleiter: Alle von Servern bereitgestellten Benutzer, Computer und Dienste müssen als Kerberos-Prinzipale definiert werden.
• Instanzen: werden für Dienstprinzipale und spezielle Verwaltungsprinzipale verwendet.
• Bereiche: Der einzigartige Kontrollbereich, den die Kerberos-Installation bietet. Betrachten Sie es als die Domäne oder Gruppe, zu der Ihre Hosts und Benutzer gehören. Die Konvention schreibt vor, dass der Bereich in Großbuchstaben angegeben werden sollte. Standardmäßig verwendet Ubuntu die in Großbuchstaben umgewandelte DNS-Domäne (EXAMPLE.COM) als Bereich.
• Schlüsselverteilungszentrum: (KDC) besteht aus drei Teilen: einer Datenbank aller Prinzipale, dem Authentifizierungsserver und dem Ticketgewährungsserver. Für jeden Realm muss es mindestens einen KDC geben.
• Ticketgewährungsticket: Das vom Authentifizierungsserver (AS) ausgestellte Ticket Granting Ticket (TGT) wird im Passwort des Benutzers verschlüsselt, das nur dem Benutzer und dem KDC bekannt ist.
• Ticketgewährungsserver: (TGS) stellt Kunden auf Anfrage Servicetickets aus.
• Tickets: Bestätigen Sie die Identität der beiden Auftraggeber. Ein Prinzipal ist ein Benutzer und der andere ein vom Benutzer angeforderter Dienst. Tickets erstellen einen Verschlüsselungsschlüssel, der für die sichere Kommunikation während der authentifizierten Sitzung verwendet wird.
• Keytab-Dateien: sind Dateien, die aus der KDC-Prinzipaldatenbank extrahiert wurden und den Verschlüsselungsschlüssel für einen Dienst oder Host enthalten.
Um alles zusammenzusetzen, verfügt ein Realm über mindestens ein KDC, vorzugsweise mehrere aus Redundanzgründen, das eine Datenbank mit Principals enthält. Wenn sich ein Benutzerprinzipal bei einer Arbeitsstation anmeldet, die für die Kerberos-Authentifizierung konfiguriert ist, stellt das KDC ein Ticket Granting Ticket (TGT) aus. Wenn die vom Benutzer angegebenen Anmeldeinformationen übereinstimmen, wird der Benutzer authentifiziert und kann dann Tickets für kerberisierte Dienste vom Ticket Granting Server anfordern
(TGS). Mithilfe der Diensttickets kann sich der Benutzer beim Dienst authentifizieren, ohne einen weiteren Benutzernamen und ein anderes Kennwort eingeben zu müssen.