Kerberos dispose de sa propre terminologie pour définir différents aspects du service. Avant d'évoquer la manière dont Kerberos fonctionne, il convient de se familiariser avec les termes suivants :
Un serveur émettant des tickets pour un service souhaité qui sont à leur tour transmis aux utilisateurs pour l'accès au service. L'AS répond aux requêtes des clients qui ne disposent pas de certificats d'identité ou ne les ont pas envoyés avec leur demande. Il est généralement utilisé pour obtenir l'accès au service du Serveur d'Émission de Tickets (ou TGS de l'anglais Ticket-granting Server) en émettant un Ticket d'émission de Tickets (ou TGT de l'anglais Ticket-granting Ticket). L'AS tourne généralement sur le même hôte que le Centre de Distribution de Clés (ou KDC de l'anglais Key Distribution Center).
Données cryptées.
Entité sur le réseau (un utilisateur, un hôte ou une application) pouvant recevoir un ticket de Kerberos.
Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. On appelle aussi cet ensemble de certificats d'identité un ticket.
Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge de cette façon.
Hachage unidirectionnel utilisé pour l'authentification des utilisateurs. Bien qu'étant plus sûr que le texte clair, un pirate expérimenté peut assez facilement le décoder.
L'API d'authentification Generic Security Service Application Program Interface (définie dans le document RFC-2743 publié par The Internet Engineering Task Force) correspond à un ensemble de fonctions qui fournissent des services de sécurité. Ces services sont utilisés par les clients et les services pour leur authentification réciproque sans qu'aucun des deux programmes ne soient vraiment informés du mécanisme sous-jacent. Si un service de réseau (comme IMAP) utilise GSS-API, il peut se servir de Kerberos pour ses besoins d'authentification.
Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante.
Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée, à moins d'être un génie en devinettes.
Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server).
Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab).
La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial ouTGT (de l'anglais Ticket-granting Ticket). Pour de plus amples informations sur l'utilisation de la commande kinit, consultez sa page de manuel.
Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a le format root[/instance]@REALM. Pour un utilisateur ordinaire, la variable root correspond à l'ID de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant (/). Une chaîne vide ("") est considérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services.
Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients.
Programme accessible via le réseau.
Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. On appelle aussi cet ensemble de certificats d'identité un ticket.
Serveur émettant les tickets pour un service souhaité que l'utilisateur doit ensuite employer pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC.
Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC.
Un mot de passe en texte clair, lisible par quiconque.
Précédent | Sommaire | Suivant |
Kerberos | Niveau supérieur | Fonctionnement de Kerberos |