- Authentifizierungsserver (AS)
Ein Server, der Tickets f�r einen gew�nschten Service ausstellt, welche sodann wiederum an Benutzer f�r den Zugang zu diesem gew�nschten Service weitergegeben werden. Der AS antwortet auf Anfragen von Clients, die keinen Berechtigungsnachweis besitzen oder mit einer Anfrage versenden. Es wird gew�hnlicherweise f�r den Zugang zum Ticket-Granting Server (TGS) Service verwendet, indem ein Ticket-Granting Ticket (TGT) ausgestellt wird. Der AS l�uft auf dem gleichen Host wie das Key Distribution Center (KDC).
- ciphertext
Verschl�sselte Daten.
- Client
Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Applikation), das von Kerberos ein Ticket erhalten kann.
- Berechtigungen
Ein tempor�rer Satz an elektronischen Berechtigungsnachweisen, die die Identit�t eines Client f�r einen bestimmten Dienst verifizieren. Auch als Ticket bezeichnet.
- Credential-Cache oder Ticket-Datei
Eine Datei, die die Schl�ssel zum Verschl�sseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enth�lt. Kerberos 5 unterst�tzt einen Rahmen f�r die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterst�tzt.
- Crypt-Hash
Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als unverschl�sselte Daten ist, ist das Entschl�sseln f�r einen erfahrenen Hacker ein Kinderspiel.
- GSS-API
Das Generic Security Service Application Program Interface (definiert in RFC-2743 und herausgegeben von der Internet Engineering Task Force) ist eine Sammlung von Funktionen, die Sicherheitsservices bereitstellen. Clients k�nnen mit diesen Funktionen Services authentifizieren und genauso k�nnen Services Clients authentifizieren, ohne dass diese Programme ein spezifisches Wissen der zugrundeliegenden Mechanismen ben�tigen. Sollte ein Netzwerk-Service (wie cyrus-IMAP) die GSS-API verwenden, kann dieser mittels Kerberos authentifizieren.
- Hash
Eine Zahl, die aus Text generiert wurde und dazu verwendet wird sicherzustellen, dass die �bertragenen Daten nicht kompromittiert wurden.
- Key (Schl�ssel)
Daten, die zum Verschl�sseln bzw. Entschl�sseln von Daten verwendet werden. Verschl�sselte Daten lassen sich ohne den richtigen Schl�ssel nicht bzw. nur durch wirklich leistungf�hige Programme zum Herausfinden von Passw�rtern entschl�sseln.
- Key Distribution Center (KDC)
Ein Dienst, der Kerberos-Tickets ausgibt und normalerweise auf dem gleichen Host wie der Ticket Granting Server (TGS) ausgef�hrt wird.
- Keytab (oder Key Table)
Eine Datei, die eine unverschl�sselte Liste aller Principals und ihrer Schl�ssel enth�lt. Server holen sich die ben�tigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardm��ige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).
- kinit
Der Befehl kinit erlaubt einem Principal, der bereits angemeldet ist, das anf�ngliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Weitere Informationen zur Verwendung des Befehls kinit finden Sie auf dessen man-Seite.
- Principal (oder Principal Name)
Der Principal Name oder Principal ist der eindeutige Name f�r einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, w�hrend instance optional ist. Wenn der Principal �ber eine Instanz verf�gt, ist diese von root durch einen Schr�gstrich ("/") getrennt. Bei einem leerem String ("") handelt es sich zwar um eine g�ltige Instanz (die sich von der Standardinstanz NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung f�hren. Alle Principals innerhalb eines Realms verf�gen �ber einen eigenen Schl�ssel, der sich f�r Benutzer aus derem Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.
- Realm
Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr gro�en Zahl von Clients besteht.
- Service
Ein Programm, auf das �ber das Netzwerk zugegriffen wird.
- Ticket
Ein tempor�rer Satz elektronischer Berechtigungsnachweise, die die Identit�t eines Client f�r einen bestimmten Dienst verifizieren. Auch Berechtigungsnachweis genannt.
- Ticket Granting Server (TGS)
Ein Server, der Benutzern der Reihe nach Tickets f�r den Zugriff auf den gew�nschten Service ausgibt. TGS wird �blicherweise auf demselben Host wie KDC ausgef�hrt.
- Ticket Granting Ticket (TGT)
Ein spezielles Ticket, das es dem Client erm�glicht, zus�tzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu m�ssen.
- Unverschl�sseltes Passwort
Ein im Klartext lesbares Passwort.
