文件记录3.1。 概观
如果您是 Kerberos 的新手,那么在设置 Kerberos 服务器之前,您需要了解一些术语。 大多数术语将与您在其他环境中可能熟悉的事物相关:
• 主要: 服务器提供的任何用户、计算机和服务都需要定义为 Kerberos 主体。
• 实例: 用于服务主体和特殊管理主体。
• 领域: Kerberos 安装提供的独特控制领域。 将其视为您的主机和用户所属的域或组。 约定规定领域应该是大写的。 默认情况下,ubuntu 将使用转换为大写的 DNS 域(EXAMPLE.COM)作为领域。
• 密钥分发中心: (KDC) 由三部分组成,所有主体的数据库、身份验证服务器和票证授予服务器。 对于每个领域,必须至少有一个 KDC。
• 票据授予票据: 由身份验证服务器 (AS) 颁发的票证授予票证 (TGT) 以用户密码加密,只有用户和 KDC 知道。
• 票据授予服务器: (TGS) 应要求向客户签发服务票据。
• 门票: 确认两位校长的身份。 一个主体是用户,另一个是用户请求的服务。 票证建立一个加密密钥,用于在经过身份验证的会话期间进行安全通信。
• 密钥表文件: 是从 KDC 主体数据库中提取的文件,包含服务或主机的加密密钥。
将这些部分放在一起,一个 Realm 至少有一个 KDC,最好有更多的冗余,其中包含一个 Principals 数据库。 当用户主体登录为 Kerberos 身份验证配置的工作站时,KDC 会发出票证授予票证 (TGT)。 如果用户提供的凭据匹配,则用户通过身份验证,然后可以从票证授予服务器请求 Kerberized 服务的票证
(TGS)。 服务票证允许用户无需输入其他用户名和密码即可对服务进行身份验证。