เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
3.1 ภาพรวม
หากคุณเพิ่งเริ่มใช้ Kerberos มีคำศัพท์สองสามคำที่คุณควรเข้าใจก่อนตั้งค่าเซิร์ฟเวอร์ Kerberos คำศัพท์ส่วนใหญ่จะเกี่ยวข้องกับสิ่งที่คุณอาจคุ้นเคยในสภาพแวดล้อมอื่นๆ:
• เงินต้น: ผู้ใช้ คอมพิวเตอร์ และบริการใดๆ ที่ให้บริการโดยเซิร์ฟเวอร์จำเป็นต้องกำหนดเป็น Kerberos Principals
• ตัวอย่าง: ใช้สำหรับหลักการบริการและผู้บริหารพิเศษ
• อาณาจักร: ขอบเขตการควบคุมเฉพาะที่จัดเตรียมโดยการติดตั้ง Kerberos คิดว่าเป็นโดเมนหรือกลุ่มที่โฮสต์และผู้ใช้ของคุณเป็นสมาชิก อนุสัญญากำหนดขอบเขตควรเป็นตัวพิมพ์ใหญ่ ตามค่าเริ่มต้น ubuntu จะใช้โดเมน DNS ที่แปลงเป็นตัวพิมพ์ใหญ่ (EXAMPLE.COM) เป็นขอบเขต
• ศูนย์กระจายสินค้าที่สำคัญ: (KDC) ประกอบด้วยสามส่วน ฐานข้อมูลของหลักการทั้งหมด เซิร์ฟเวอร์การตรวจสอบสิทธิ์ และเซิร์ฟเวอร์การอนุญาตตั๋ว สำหรับแต่ละขอบเขตจะต้องมี KDC อย่างน้อยหนึ่งรายการ
• การออกตั๋ว: ที่ออกโดย Authentication Server (AS) Ticket Granting Ticket (TGT) จะถูกเข้ารหัสในรหัสผ่านของผู้ใช้ซึ่งเป็นที่รู้จักเฉพาะกับผู้ใช้และ KDC เท่านั้น
• เซิร์ฟเวอร์ให้ตั๋ว: (TGS) ออกตั๋วบริการให้กับลูกค้าเมื่อมีการร้องขอ
• บัตรราคา: ยืนยันตัวตนของสองอาจารย์ใหญ่ ตัวการหลักหนึ่งเป็นผู้ใช้และอีกบริการหนึ่งเป็นบริการที่ผู้ใช้ร้องขอ ตั๋วสร้างคีย์เข้ารหัสที่ใช้สำหรับการสื่อสารที่ปลอดภัยระหว่างเซสชันที่ตรวจสอบสิทธิ์
• ไฟล์คีย์แท็บ: เป็นไฟล์ที่แยกจากฐานข้อมูลหลักของ KDC และมีคีย์การเข้ารหัสสำหรับบริการหรือโฮสต์
ในการรวบรวมชิ้นส่วนต่างๆ เข้าด้วยกัน อาณาจักรจะมี KDC อย่างน้อยหนึ่งรายการ ควรมีมากกว่าสำหรับความซ้ำซ้อน ซึ่งประกอบด้วยฐานข้อมูลของอาจารย์ใหญ่ เมื่อผู้ใช้หลักล็อกอินเข้าสู่เวิร์กสเตชันที่กำหนดค่าไว้สำหรับการรับรองความถูกต้อง Kerberos KDC จะออก Ticket Granting Ticket (TGT) หากผู้ใช้ระบุข้อมูลประจำตัวตรงกัน ผู้ใช้จะได้รับการตรวจสอบสิทธิ์และสามารถขอตั๋วสำหรับบริการ Kerberized จากเซิร์ฟเวอร์ Ticket Granting
(ทีจีเอส). ตั๋วบริการอนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์กับบริการโดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่านอื่น