Documentație3.1. Prezentare generală
Dacă sunteți nou în Kerberos, există câțiva termeni care sunt bine de înțeles înainte de a configura un server Kerberos. Majoritatea termenilor se vor referi la lucruri cu care ați putea fi familiarizat în alte medii:
• Major: orice utilizatori, computere și servicii furnizate de servere trebuie să fie definite ca Kerberos Principals.
• Instanțe: sunt utilizate pentru directori de servicii și directori administrativi speciali.
• Tărâmuri: domeniul unic de control oferit de instalația Kerberos. Gândiți-vă la el ca la domeniul sau grupul căruia îi aparțin gazdele și utilizatorii. Convenția impune că tărâmul ar trebui să fie cu majuscule. În mod implicit, ubuntu va folosi domeniul DNS convertit în majuscule (EXAMPLE.COM) ca domeniu.
• Centrul de distribuție a cheilor: (KDC) constă din trei părți, o bază de date a tuturor principalilor, serverul de autentificare și serverul de acordare a biletelor. Pentru fiecare tărâm trebuie să existe cel puțin un KDC.
• Biletul de acordare a biletelor: emis de serverul de autentificare (AS), biletul de acordare a biletelor (TGT) este criptat în parola utilizatorului, care este cunoscută numai de utilizator și de KDC.
• Server de acordare a biletelor: (TGS) emite bilete de servicii către clienți la cerere.
• Bilete: confirma identitatea celor doi directori. Un principal fiind un utilizator, iar celălalt un serviciu solicitat de utilizator. Biletele stabilesc o cheie de criptare folosită pentru comunicarea securizată în timpul sesiunii autentificate.
• Fișiere Keytab: sunt fișiere extrase din baza de date principală KDC și conțin cheia de criptare pentru un serviciu sau gazdă.
Pentru a pune împreună piesele, un Tărâm are cel puțin un KDC, de preferință mai mult pentru redundanță, care conține o bază de date de Principali. Când un principal utilizator se conectează la o stație de lucru configurată pentru autentificare Kerberos, KDC emite un Ticket Granting Ticket (TGT). Dacă acreditările furnizate de utilizator se potrivesc, utilizatorul este autentificat și apoi poate solicita bilete pentru serviciile Kerberizate de la serverul de acordare a biletelor
(TGS). Tichetele de serviciu permit utilizatorului să se autentifice la serviciu fără a introduce un alt nume de utilizator și parolă.