Kerberos 服务中的客户机由其主体标识。主体是 KDC 可以为其指定票证的唯一标识。主体可以是用户(如 joe)或服务(如 nfs 或 telnet)。
根据约定,主体名称分为三个部分:主名称、实例和领域。例如,典型的 Kerberos 主体可以是 joe/admin@ENG.EXAMPLE.COM。在本示例中:
joe 是主名称。主名称可以是此处所示的用户名或 nfs 等服务。主名称还可以是单词 host,这表示此主体是设置用于提供各种网络服务(如 ftp、rcp、rlogin 等)的服务主体。
admin 是实例。对于用户主体,实例是可选的;但对于服务主体,实例则是必需的。例如,如果用户 joe 有时充当系统管理员,则他可以使用 joe/admin 将其自身与平时的用户身份区分开来。同样,如果 joe 在两台不同的主机上拥有帐户,则他可以使用两个具有不同实例的主体名称,例如 joe/denver.example.com 和 joe/boston.example.com。请注意,Kerberos 服务会将 joe 和 joe/admin 视为两个完全不同的主体。
对于服务主体,实例是全限定主机名。例如,bigmachine.eng.example.com 就是这种实例。此示例的主名称/实例可以为 ftp/bigmachine.eng.example.com 或 host/bigmachine.eng.example.com。
ENG.EXAMPLE.COM 是 Kerberos 领域。领域将在 Kerberos 领域中介绍。
以下都是有效的主体名称:
joe
joe/admin
joe/admin@ENG.EXAMPLE.COM
ftp/host.eng.example.com@ENG.EXAMPLE.COM
host/eng.example.com@ENG.EXAMPLE.COM