ドキュメント3.1。 概要
Kerberos を初めて使用する場合は、Kerberos サーバーをセットアップする前に理解しておくとよい用語がいくつかあります。 用語のほとんどは、他の環境でよく知られているものに関連しています。
• 校長: ユーザー、コンピューター、サーバーによって提供されるサービスはすべて、Kerberos プリンシパルとして定義する必要があります。
• インスタンス: サービス プリンシパルと特別な管理プリンシパルに使用されます。
• レルム: Kerberos インストールによって提供される独自の制御領域。 これは、ホストとユーザーが属するドメインまたはグループと考えてください。 慣例により、レルムは大文字である必要があります。 デフォルトでは、ubuntu は大文字に変換された DNS ドメイン (EXAMPLE.COM) をレルムとして使用します。
• キー配布センター: (KDC) は、すべてのプリンシパルのデータベース、認証サーバー、チケット交付サーバーの XNUMX つの部分で構成されます。 各レルムには少なくとも XNUMX つの KDC が必要です。
• チケット交付チケット: 認証サーバー (AS) によって発行されるチケット認可チケット (TGT) は、ユーザーと KDC のみが知っているユーザーのパスワードで暗号化されます。
• チケット交付サーバー: (TGS) は、クライアントの要求に応じてサービス チケットを発行します。
• チケット: XNUMX人の本人の身元を確認する。 XNUMX つのプリンシパルはユーザーであり、もう XNUMX つはユーザーによって要求されたサービスです。 チケットは、認証されたセッション中の安全な通信に使用される暗号化キーを確立します。
• キータブ ファイル: KDC プリンシパル データベースから抽出されたファイルで、サービスまたはホストの暗号化キーが含まれています。
これらの部分をまとめるために、レルムには少なくとも XNUMX つの KDC (できれば冗長性のために複数の KDC) があり、プリンシパルのデータベースが含まれています。 ユーザー プリンシパルが Kerberos 認証用に構成されたワークステーションにログインすると、KDC はチケット認可チケット (TGT) を発行します。 ユーザーが指定した資格情報が一致すると、ユーザーは認証され、チケット認可サーバーから Kerberos サービスのチケットをリクエストできるようになります。
(TGS)。 サービス チケットを使用すると、ユーザーは別のユーザー名とパスワードを入力せずにサービスに対する認証を行うことができます。