תיעוד3.1. סקירה
אם אתה חדש ב-Kerberos, יש כמה מונחים שכדאי להבין לפני הגדרת שרת Kerberos. רוב המונחים יתייחסו לדברים שאולי אתם מכירים בסביבות אחרות:
• מנהל: כל המשתמשים, המחשבים והשירותים המסופקים על ידי שרתים צריכים להיות מוגדרים כמנהלי Kerberos.
• מקרים: משמשים למנהלי שירות ומנהלים מינהליים מיוחדים.
• ממלכות: תחום השליטה הייחודי המסופק על ידי התקנת Kerberos. תחשוב על זה כעל הדומיין או הקבוצה שאליהם שייכים המארחים והמשתמשים שלך. האמנה קובעת שהתחום צריך להיות באותיות רישיות. כברירת מחדל, ubuntu תשתמש בדומיין ה-DNS שהומר לאותיות רישיות (EXAMPLE.COM) בתור התחום.
• מרכז הפצת מפתחות: (KDC) מורכב משלושה חלקים, מסד נתונים של כל המנהלים, שרת האימות ושרת הענקת הכרטיסים. לכל תחום חייב להיות לפחות KDC אחד.
• כרטיס הענקת כרטיס: המונפק על ידי שרת האימות (AS), כרטיס הענקת הכרטיסים (TGT) מוצפן בסיסמת המשתמש הידועה רק למשתמש ול-KDC.
• שרת הענקת כרטיסים: (TGS) מנפיק כרטיסי שירות ללקוחות לפי דרישה.
• כרטיסים: לאשר את זהות שני המנהלים. מנהל אחד הוא משתמש והשני שירות המבוקש על ידי המשתמש. כרטיסים יוצרים מפתח הצפנה המשמש לתקשורת מאובטחת במהלך הפגישה המאומתת.
• קבצי Keytab: הם קבצים שחולצו ממסד הנתונים הראשי של KDC ומכילים את מפתח ההצפנה עבור שירות או מארח.
כדי לחבר את החלקים יחד, לממלכה יש לפחות KDC אחד, רצוי יותר עבור יתירות, שמכיל מסד נתונים של מנהלים. כאשר מנהל משתמש נכנס לתחנת עבודה המוגדרת עבור אימות Kerberos, ה-KDC מנפיק כרטיס הענקת כרטיס (TGT). אם אישורי המשתמש שסופקו תואמים, המשתמש מאומת ולאחר מכן יכול לבקש כרטיסים לשירותי Kerberized משרת הענקת הכרטיסים
(TGS). כרטיסי השירות מאפשרים למשתמש לבצע אימות לשירות מבלי להזין שם משתמש וסיסמה נוספים.