48.6.2. Kerberos の用語
Kerberos には、サービスのさまざまな側面を定義する独自の用語があります。Kerberos の仕組みを理解する前に、以下の用語を理解することが重要です。
- 認証サーバー(AS)
- ユーザーがサービスにアクセスできるようになる目的のサービスのチケットを発行するサーバー。AS は、要求でクレデンシャルを送信しない、または送信していないクライアントから要求に応答します。通常、TGT (Ticket-granting Ticket)を発行することで、TGS (Ticket-granting Server)サービスへのアクセスを取得するために使用されます。AS は通常、キー配布センター(KDC)と同じホストで実行されます。
- ciphertext
- 暗号化されたデータ。
- クライアント
- Kerberos からチケットを取得できるネットワーク上のエンティティー(ユーザー、ホスト、またはアプリケーション)。
- credentials
- 特定のサービスのクライアントの ID を確認する電子クレデンシャルの一時的なセット。チケットとも呼ばれます。
- 認証情報キャッシュまたはチケットファイル
- ユーザーとさまざまなネットワークサービス間の通信を暗号化する鍵を含むファイル。Kerberos 5 は、共有メモリーなどの他のキャッシュタイプを使用するためのフレームワークをサポートしますが、ファイルはより詳細にサポートされます。
- 暗号化ハッシュ
- ユーザーの認証に使用される一方向ハッシュ。暗号化されていないデータを使用するよりも安全性が高くなりますが、経験のあるクラッカーの暗号は比較的簡単です。
- GSS-API
- Generic Security Service Application Program Interface (RFC-2743 で定義)は、The Internet Engineering Task Force (Internet Engineering Task Force)によって公開される一連の関数です。この API は、基盤となるメカニズムに関する特定の知識がなくても、クライアントおよびサービスによって相互の認証に使用されます。ネットワークサービス(cyrus-IMAP など)が GSS-API を使用する場合は、Kerberos を使用して認証できます。
- ハッシュ
- ハッシュ値 とも呼ばれます。ハッシュ関数 で文字列を渡すことで生成された値。これらの値は、通常、送信データが改ざんされないようにするために使用されます。
- ハッシュ関数
- 入力データからデジタルフィンガープリントを生成する方法。これらの関数は、ハッシュ値 を生成するためにデータを再編成、変換、または変更します。
- key
- 他のデータの暗号化または復号化時に使用されるデータ。暗号化されたデータは、適切なキーなしで復号できず、クラッカーの一部で調整が非常に良くなります。
- キー配布センター(KDC)
- Kerberos チケットを発行し、通常は ticket-granting サーバー(TGS)と同じホストで実行されるサービス。
- keytab (またはキーテーブル)
- プリンシパルとそのキーの暗号化されていないリストが含まれるファイル。サーバーは、kinit を使用する代わりにキータブファイルから必要なキーを取得します。デフォルトのキータブファイルは
/etc/krb5.keytabです。KDC 管理サーバー /usr/kerberos/sbin/kadmind は、他のファイルを使用する唯一のサービスです(/var/kerberos/krb5kdc/kadm5.keytabを使用します)。 - kinit
- kinit コマンドを使用すると、すでにログインしているプリンシパルが、最初の TGT (Ticket-granting Ticket)を取得してキャッシュできます。詳細は、kinit の man ページを参照してください。
- プリンシパル(またはプリンシパル名)
- プリンシパルは、Kerberos を使用した認証が許可されるユーザーまたはサービスの一意の名前です。プリンシパルの形式は
root[/instance]@REALMに従います。一般的なユーザーの場合、root はログイン ID と同じです。インスタンスはオプションです。プリンシパルにインスタンスがある場合、これはスラッシュ("/")でルートから分離されます。空の文字列("")は有効なインスタンス(デフォルトのNULLインスタンスとは異なる)とみなされますが、これを使用すると混乱が生じる可能性があります。レルムのすべてのプリンシパルには独自のキーがあり、ユーザーはパスワードから派生するか、またはサービスにランダムに設定されます。 - realm
- KDC と呼ばれる 1 つ以上のサーバーと、潜在的に多数のクライアントで設定される Kerberos を使用するネットワーク。
- サービス
- ネットワーク経由でアクセスするプログラム。
- ticket
- 特定のサービスのクライアントの ID を確認する電子クレデンシャルの一時的なセット。credentials とも呼ばれます。
- Ticket-Granting サーバー(TGS)
- ユーザーがサービスにアクセスできるようになる目的のサービスのチケットを発行するサーバー。通常、TGS は KDC と同じホストで実行されます。
- TGT (Ticket-Granting Ticket)
- KDC から適用せずにクライアントが追加のチケットを取得できるようにする特別なチケット。
- 暗号化されていないパスワード
- プレーンテキストの人間が判読できるパスワード。
