19.2. Kerberosの用語

サーバーが目的のサービスのためにチケットを発行すると、次に、そのサービスへのアクセスにそのチケットがユーザーに与えられます。認証サーバーは、要求に証明書がない又は証明書を送信しないクライアントからの要求に応えます。通常、TGT (Ticket-granting Ticket) を発行して TGS (Ticket-granting Server) にアクセスするために使用されます。認証サーバーは、通常、KDC (Key Disstribution Center) と同じホストで動作します。

暗号化されたデータ。

Kerberosからチケットを受け取ることができるネットワーク上の実体 (ユーザー、ホスト、アプリケーションなど)。

特定のサービスに関してクライアントの身元を識別する一時的な電子証明書のセット。 チケットとも呼ばれる。

ユーザーと各種ネットワークサービスの間の通信を暗号化するための鍵を含むファイル。 Kerberos 5は、その他のキャッシュタイプ（たとえば共有メモリ）を使用するための枠組みを提供しますが、 ファイルの方が徹底してサポートされています。

ユーザの認証に使う一方向ハッシュ。 暗号化していないデータより安全だが、経験豊富なクラッカーには容易に解読される。

汎用セキュリティサービスアプリケーションプログラムインターフェイス (Internet Engineering Task Force 公示の RFC-2743 に定義されている) は、一連の機能セットでセキュリティサービスを提供しています。プログラムが根底にある仕組みを知らなくても、クライアントとサーバーがお互いに認証し合う目的で、どちらも この API を使用します。ネットワークサービス(cyrus-IMAPなど)が GSS-API を使用 する場合、そのネットワークサービスは Kerberos を使って認証することができます。

テキストから生成された数字で、送信データに違反処理がないことを確認するために使用

データを暗号化/複号化する際に使用されるデータ。暗号化されたデータの復号化は、 正しい鍵 (又は 超越した想像力)なしでは不可能です。

Kerberos のチケットを発行するサービス。通常、TGS (Ticket Granting Server) と同一のホスト上で動作します。

暗号化されていないプリンシパルとその鍵の一覧を含むファイル。サーバーは、 kinitを使用せずに、keytabファイルから必要な鍵を取り出します。 デフォルトのkeytabファイルは/etc/krb5.keytabです。 KDC 管理サーバ、/usr/kerberos/sbin/kadmindのみが、その他のファイルを使用 するサービスです。（それは/var/kerberos/krb5kdc/kadm5.keytabを使用します）。

kinitコマンドにより、ログインしているプリンシパルは最初の TGT (Ticket Granting Ticket)を取得してキャッシュに保存することができます。kinit コマンドの使用方法についての詳細は、このコマンドの man ページを参照してください。

プリンシパルとは、Kerberos を使用して認証できるユーザーやサービスの 固有の名前です。プリンシパルの形式は、root[/instance]@REALMとなります。一般的なユーザーの場合、rootは、 ユーザーのログイン ID と同じです。instanceは、オプションです。プリンシパルが1つのインスタンスを持つ場合、インスタンスとrootはスラッシュ（"/"）で区切られます。空の文字列（""）も実際には有効なインスタンスとみなされますが（デフォルトのNULL インスタンスとは異なる）、使用すると混乱します。1つの realm に属するすべてのプリンシパルは独自の鍵を持っており、ユーザー用のその鍵はパスワードから導き出 されるか、サービス用にランダムに設定されます。

Kerberosを使用したネットワーク。KDCと呼ばれる一台または少数台のサーバーと非常に多数になる 可能性のあるクライアントから構成されます。

ネットワーク経由でアクセスされるプログラム。

特定のサービスに関してクライアントの身元を識別する一時的な電子証明書のセット。 証明書とも呼ばれる。

サーバーが目的のサービスのためにチケットを発行すると、次に、 そのサービスへのアクセスのためにそのチケットがユーザーに与えられる。 TGS は、通常、KDCと同一のホスト上で動作する。

あらためてKDCに対して要求しなくても、クライアントが追加のチケットを取得できるようにする特殊なチケット。

プレインテキストの、人間に読み取れるパスワード。