Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Kerberos-Terminologie

19.2. Kerberos-Terminologie

Wie jedes andere System verf�gt Kerberos �ber seine eigene Terminologie zur Definition verschiedener Aspekte des Dienstes. Ehe die Funktionsweise des Dienstes erl�utert wird, sollten Sie mit folgenden Begriffen vertraut sein.

Authentifizierungsserver (AS)

Ein Server, der Tickets f�r einen gew�nschten Service ausstellt, welche sodann wiederum an Benutzer f�r den Zugang zu diesem gew�nschten Service weitergegeben werden. Der AS antwortet auf Anfragen von Clients, die keinen Berechtigungsnachweis besitzen oder mit einer Anfrage versenden. Es wird gew�hnlicherweise f�r den Zugang zum Ticket-Granting Server (TGS) Service verwendet, indem ein Ticket-Granting Ticket (TGT) ausgestellt wird. Der AS l�uft auf dem gleichen Host wie das Key Distribution Center (KDC).

ciphertext

Verschl�sselte Daten.

Client

Ein Objekt im Netzwerk (ein Benutzer, ein Host oder eine Applikation), das von Kerberos ein Ticket erhalten kann.

Berechtigungen

Ein tempor�rer Satz an elektronischen Berechtigungsnachweisen, die die Identit�t eines Client f�r einen bestimmten Dienst verifizieren. Auch als Ticket bezeichnet.

Credential-Cache oder Ticket-Datei

Eine Datei, die die Schl�ssel zum Verschl�sseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enth�lt. Kerberos 5 unterst�tzt einen Rahmen f�r die Verwendung anderer Cache-Typen wie zum Beispiel gemeinsam genutzten Speicher. Die Dateien werden allerdings besser unterst�tzt.

Crypt-Hash

Ein unidirektionaler Hash, der zum Authentifizieren von Benutzern verwendet wird. Auch wenn dies sicherer als unverschl�sselte Daten ist, ist das Entschl�sseln f�r einen erfahrenen Hacker ein Kinderspiel.

GSS-API

Das Generic Security Service Application Program Interface (definiert in RFC-2743 und herausgegeben von der Internet Engineering Task Force) ist eine Sammlung von Funktionen, die Sicherheitsservices bereitstellen. Clients k�nnen mit diesen Funktionen Services authentifizieren und genauso k�nnen Services Clients authentifizieren, ohne dass diese Programme ein spezifisches Wissen der zugrundeliegenden Mechanismen ben�tigen. Sollte ein Netzwerk-Service (wie cyrus-IMAP) die GSS-API verwenden, kann dieser mittels Kerberos authentifizieren.

Hash

Eine Zahl, die aus Text generiert wurde und dazu verwendet wird sicherzustellen, dass die �bertragenen Daten nicht kompromittiert wurden.

Key (Schl�ssel)

Daten, die zum Verschl�sseln bzw. Entschl�sseln von Daten verwendet werden. Verschl�sselte Daten lassen sich ohne den richtigen Schl�ssel nicht bzw. nur durch wirklich leistungf�hige Programme zum Herausfinden von Passw�rtern entschl�sseln.

Key Distribution Center (KDC)

Ein Dienst, der Kerberos-Tickets ausgibt und normalerweise auf dem gleichen Host wie der Ticket Granting Server (TGS) ausgef�hrt wird.

Keytab (oder Key Table)

Eine Datei, die eine unverschl�sselte Liste aller Principals und ihrer Schl�ssel enth�lt. Server holen sich die ben�tigten Keys aus keytab-Dateien, statt kinit zu verwenden. Die standardm��ige keytab-Datei ist /etc/krb5.keytab, wobei /usr/kerberos/sbin/kadmind der einzige bekannte Service ist, der eine andere Datei verwendet (er verwendet /var/kerberos/krb5kdc/kadm5.keytab).

kinit

Der Befehl kinit erlaubt einem Principal, der bereits angemeldet ist, das anf�ngliche Ticket Granting Ticket (TGT) zu erhalten und im Cache abzulegen. Weitere Informationen zur Verwendung des Befehls kinit finden Sie auf dessen man-Seite.

Principal (oder Principal Name)

Der Principal Name oder Principal ist der eindeutige Name f�r einen Benutzer oder Service, der sich mit Hilfe von Kerberos authentifizieren kann. Der Name eines Principal hat das Format root[/instance]@REALM. Bei einem typischen Benutzer entspricht root der Login-ID, w�hrend instance optional ist. Wenn der Principal �ber eine Instanz verf�gt, ist diese von root durch einen Schr�gstrich ("/") getrennt. Bei einem leerem String ("") handelt es sich zwar um eine g�ltige Instanz (die sich von der Standardinstanz NULL unterscheidet), allerdings kann deren Verwendung zu Verwirrung f�hren. Alle Principals innerhalb eines Realms verf�gen �ber einen eigenen Schl�ssel, der sich f�r Benutzer aus derem Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird.

Realm

Ein Netzwerk, das Kerberos verwendet und aus einem oder einigen Servern (auch als KDCs bezeichnet) sowie einer potenziell sehr gro�en Zahl von Clients besteht.

Service

Ein Programm, auf das �ber das Netzwerk zugegriffen wird.

Ticket

Ein tempor�rer Satz elektronischer Berechtigungsnachweise, die die Identit�t eines Client f�r einen bestimmten Dienst verifizieren. Auch Berechtigungsnachweis genannt.

Ticket Granting Server (TGS)

Ein Server, der Benutzern der Reihe nach Tickets f�r den Zugriff auf den gew�nschten Service ausgibt. TGS wird �blicherweise auf demselben Host wie KDC ausgef�hrt.

Ticket Granting Ticket (TGT)

Ein spezielles Ticket, das es dem Client erm�glicht, zus�tzliche Tickets zu erhalten, ohne diese beim KDC anfordern zu m�ssen.

Unverschl�sseltes Passwort

Ein im Klartext lesbares Passwort.

 
 
  Published under the terms of the GNU General Public License Design by Interspire