Documentazione<Precedenti | Contenuti | Succ.>
3.1. Panoramica
Se non conosci Kerberos, ci sono alcuni termini che è utile comprendere prima di configurare un server Kerberos. La maggior parte dei termini riguarderà cose con cui potresti avere familiarità in altri ambienti:
· XNUMX€ Principale: tutti gli utenti, computer e servizi forniti dai server devono essere definiti come Kerberos Principal.
· XNUMX€ Istanze: vengono utilizzati per le entità servizio e le entità amministrative speciali.
· XNUMX€ Regni: l'unico regno di controllo fornito dall'installazione Kerberos. Consideralo come il dominio o il gruppo a cui appartengono i tuoi host e utenti. La convenzione impone che il regno debba essere in maiuscolo. Per impostazione predefinita, Ubuntu utilizzerà il dominio DNS convertito in maiuscolo (EXAMPLE.COM) come realm.
· XNUMX€ Centro distribuzione chiavi: (KDC) è costituito da tre parti, un database di tutti i principali, il server di autenticazione e il server di assegnazione dei biglietti. Per ogni realm deve esserci almeno un KDC.
· XNUMX€ Biglietto Concessione Biglietto: emesso dall'Authentication Server (AS), il Ticket Granting Ticket (TGT) è crittografato nella password dell'utente che è nota solo all'utente e al KDC.
· XNUMX€ Server di assegnazione del biglietto: (TGS) emette ticket di servizio ai clienti su richiesta.
· XNUMX€ biglietti: confermare l'identità dei due mandanti. Un principal è un utente e l'altro un servizio richiesto dall'utente. I ticket stabiliscono una chiave di crittografia utilizzata per la comunicazione sicura durante la sessione autenticata.
· XNUMX€ File di tastiere: sono file estratti dal database principale KDC e contengono la chiave di crittografia per un servizio o host.
Per mettere insieme i pezzi, un Realm ha almeno un KDC, preferibilmente più per ridondanza, che contiene un database di Principal. Quando un'entità utente accede a una workstation configurata per l'autenticazione Kerberos, il KDC emette un Ticket Granting Ticket (TGT). Se le credenziali fornite dall'utente corrispondono, l'utente viene autenticato e può quindi richiedere i ticket per i servizi Kerberized dal Ticket Granting Server
(TGS). I ticket di servizio consentono all'utente di autenticarsi al servizio senza inserire un altro nome utente e password.