Glossario
- autenticazione
-
Processo di verifica dell'identità dichiarata da un nome principale.
- autorizzazione
-
Processo con cui si determina se un nome principale possa usare un servizio, a quali oggetti sia autorizzato ad accedere e quale tipo di accesso possa avere per ognuno.
- cache delle credenziali
-
Spazio di memorizzazione (solitamente un file) che contiene le credenziali ricevute dal KDC.
- chiave
-
-
Voce (nome principale) di una tabella di chiavi. (Vedere tabella di chiavi.)
-
Chiave di cifratura, che può essere di tre tipi:
-
Chiave privata: chiave di cifratura condivisa da un nome principale e dal KDC, distribuita al di fuori dei confini del sistema. Vedere anche chiave privata.
-
Chiave di servizio: chiave con la stessa funzione della chiave privata, ma usata da server e servizi. Vedere anche chiave di servizio.
-
Chiave di sessione: chiave di cifratura temporanea usata tra due nomi principali, con una durata limitata a quella di una singola sessione di login. Vedere anche chiave di sessione.
-
-
- chiave di servizio
-
Chiave di cifratura condivisa tra il nome principale di un servizio e il KDC, distribuita al di fuori dei confini del sistema. Vedere anche chiave.
- chiave di sessione
-
Chiave generata dal servizio di autenticazione o dal TGS. La chiave di sessione viene generata per consentire transazioni sicure tra un client e un servizio. La sua durata è limitata a una singola sessione di login. Vedere anche chiave.
- chiave privata
-
Ad ogni nome principale di un utente viene assegnata una chiave, che è nota solo a quell'utente e al KDC. La chiave è basata sulla password dell'utente. Vedere anche chiave.
- chiave segreta
-
Vedere chiave privata.
- cifratura a chiave privata
-
Nella cifratura a chiave privata, il mittente e il destinatario usano la stessa chiave per la cifratura dei dati. Vedere anche cifratura a chiave pubblica.
- cifratura a chiave pubblica
-
Schema di cifratura in cui ogni utente ha due chiavi, una pubblica e una provata. Nella cifratura a chiave pubblica, il mittente usa la chiave pubblica del destinatario per cifrare il messaggio, e il destinatario usa una chiave privata per decifrarlo. SEAM è un sistema a chiave privata. Vedere anche cifratura a chiave privata.
- client
-
-
In senso stretto, è un processo che utilizza un servizio di rete per conto di un utente; ad esempio, un'applicazione che utilizza rlogin. In alcuni casi, anche un server può essere client di un altro server o servizio.
-
In senso più ampio, è un host che a) riceve una credenziale Kerberos, e b) utilizza un servizio fornito da un server.
In generale, è un nome principale che utilizza un servizio.
-
- confidenzialità
-
Vedere riservatezza.
- credenziale
-
Pacchetto di informazioni che include un ticket e una chiave di sessione corrispondente. Viene usato per autenticare l'identità di un nome principale. Vedere anche ticket, chiave di sessione.
- criteri
-
Insieme di regole, stabilite durante l'installazione o l'amministrazione di SEAM, che governano l'uso dei ticket. I criteri possono regolare le modalità di accesso dei nomi principali o i parametri dei ticket, ad esempio la durata.
- dati di autenticazione
-
I dati di autenticazione vengono inviati dai client durante la richiesta di ticket (a un KDC) e servizi (a un server). Essi contengono informazioni, generate usando una chiave di sessione nota solo al client e al server, che possono dimostrare la loro origine recente, indicando così che la transazione è sicura. Usati insieme a un ticket, i dati di autenticazione possono essere usati per autenticare il nome principale di un utente. Essi includono il nome principale dell'utente, l'indirizzo IP dell'host dell'utente e un'indicazione di data/ora. Diversamente dai ticket, i dati di autenticazione possono essere usati solo una volta, solitamente quando viene richiesto l'accesso a un servizio. I dati di autenticazione vengono cifrati usando la chiave di sessione per il client e il server che eseguono la transazione.
- file dei ticket
-
Vedere cache delle credenziali.
- file segreto
-
Un file segreto contiene una copia cifrata della chiave master del KDC. Questa chiave viene usata al riavvio del server per autenticare automaticamente il KDC prima di avviare i processi kadmind e krb5kdc. Poiché questo file include la chiave master, il file e le sue copie di backup devono essere tenuti al sicuro. Se la cifratura viene compromessa, vi è il rischio che la chiave venga utilizzata per l'accesso o la modifica del database del KDC.
- FQDN
-
Nome di dominio pienamente qualificato. Ad esempio, torino.euro.spa.it (rispetto alla forma semplice torino).
- GSS-API
-
Acronimo di Generic Security Service Application Programming Interface. È un livello di rete che fornisce il supporto per diversi servizi di sicurezza modulari (incluso SEAM). La GSS-API fornisce servizi di autenticazione, integrità e riservatezza. Vedere anche autenticazione, integrità, riservatezza.
- host
-
Sistema accessibile attraverso una rete.
- integrità
-
Servizio di sicurezza che, oltre all'autenticazione, controlla la validità dei dati trasmessi mediante checksum cifrati. Vedere anche autenticazione, riservatezza.
- istanza
-
È la seconda parte di un nome principale, di cui qualifica il nome primario. Nel caso del nome principale di un servizio, l'istanza è obbligatoria e rappresenta il nome di dominio pienamente qualificato di un host, come in host/torino.euro.spa.it. Per i nomi principali di utenti, l'istanza è opzionale; si noti, tuttavia, che mario e mario/admin sono nomi principali differenti. Vedere anche nome principale, nome principale di servizio, nome principale di utente.
- KDC
-
(Key Distribution Center) Sistema che dispone di tre componenti Kerberos V5:
-
Database dei nomi principali e delle chiavi
-
Servizio di autenticazione
-
Servizio che emette i ticket
Ogni settore comprende un KDC master e dovrebbe avere uno o più KDC slave.
-
- KDC master
-
È il KDC principale di ogni settore, che include un server di amministrazione Kerberos, kadmind e un daemon per l'autenticazione e la concessione dei ticket, krb5kdc. Ogni settore deve avere almeno un KDC master e può avere più copie, o KDC slave, che forniscono servizi di autenticazione ai client.
- KDC slave
-
Copia del KDC master che può eseguire la maggior parte delle funzioni del master. Solitamente, ogni settore contiene diversi KDC slave (e un solo KDC master). Vedere anche KDC, KDC master.
- Kerberos
-
Servizio di autenticazione, protocollo usato da quel servizio, o codice usato per implementare quel servizio.
SEAM è un'implementazione di autenticazione basata in modo rigoroso su Kerberos V5.
Anche se tecnicamente differenti, "SEAM" e "Kerberos" sono spesso utilizzati in modo intercambiabile nella documentazione SEAM; lo stesso vale per "Kerberos" e "Kerberos V5".
Kerberos è l'inglese per Cerbero, il mostro a tre teste che sorvegliava le porte degli inferi nella mitologia greca.
- kvno
-
Abbreviazione di Key Version Number (numero di versione della chiave). Numero sequenziale che designa una determinata chiave in ordine cronologico di generazione. Il kvno di valore più alto designa la chiave più recente.
- meccanismo
-
Pacchetto software che specifica le tecniche di cifratura da usare per l'autenticazione o la riservatezza dei dati. Esempi: Kerberos V5, chiave pubblica Diffie-Hellman.
- meccanismo di sicurezza
-
Vedere meccanismo.
- nome primario
-
È la prima parte di un nome principale. Vedere anche istanza, nome principale, settore.
- nome principale
-
-
Nome unico di un client/utente o di un server/servizio che partecipa a una comunicazione di rete; le transazioni Kerberos comportano interazioni tra nomi principali (di servizi o di utenti) o tra nomi principali e KDC. In altre parole, un nome principale è un'entità unica a cui Kerberos può assegnare i ticket. Vedere anche nome principale, nome principale di servizio, nome principale di utente.
-
Denominazione di un nome principale, con il formato nome_primario/istanza@SETTORE. Vedere anche istanza, nome primario, settore.
-
(RPCSEC_GSS API) Vedere nome principale di client, nome principale di server.
-
- nome principale admin o nome principale di amministrazione
-
Nome principale di un utente con la forma nomeutente/admin (ad esempio giovanni/admin). Un nome principale di amministrazione può avere più privilegi (ad esempio, il privilegio di modifica dei criteri) rispetto a un nome principale normale. Vedere anche nome principale, nome principale di utente.
- nome principale di client
-
(RPCSEC_GSS API) È un client (utente o applicazione) che utilizza servizi di rete protetti con RPCSEC_GSS. I nomi principali dei client sono memorizzati in forma di strutture rpc_gss_principal_t.
- nome principale di server
-
(RPCSEC_GSS API) Nome principale che fornisce un servizio. Viene memorizzato come stringa ASCII nel formato servizio@host. Vedere anche nome principale di client.
- nome principale di servizio
-
Nome principale che fornisce un'autenticazione Kerberos per uno o più servizi. Per i nomi principali dei servizi, il nome primario è il nome di un servizio, ad esempio
ftp, e la sua istanza è il nome host pienamente qualificato del sistema che fornisce il servizio. Vedere anche nome principale host, nome principale di utente. - nome principale di utente
-
Nome principale attribuito a un determinato utente, il cui nome primario è un nome utente e la cui istanza opzionale è un nome usato per descrivere l'uso delle credenziali corrispondenti (ad esempio, mario o mario/admin). Viene anche detto istanza dell'utente. Vedere anche nome principale di servizio.
- nome principale host
-
Istanza particolare di un nome principale di un servizio in cui il nome principale (designato dal nome primario host) è configurato in modo da fornire una serie di servizi di rete, ad esempio
ftp,rcporlogin. host/milano.euro.spa.it@EURO.SPA.IT è un esempio di un nome principale di un host. Vedere anche nome principale di server. - NTP
-
(Network Time Protocol) Software sviluppato dalla University of Delaware che permette di gestire la sincronizzazione precisa dell'ora e/o degli orologi dei sistemi in un ambiente di rete. NTP può essere usato per gestire lo scostamento orario in un ambiente Kerberos.
- PAM
-
(Pluggable Authentication Module) Framework che permette di usare più meccanismi di autenticazione senza doverli utilizzare per ricompilare i servizi. PAM permette l'inizializzazione delle sessioni SEAM al login.
- QOP
-
(Qualità di protezione) Parametro usato per selezionare gli algoritmi crittografici da utilizzare in relazione al servizio di integrità e riservatezza.
- relazione
-
Variabile di configurazione o rapporto definito nei file kdc.conf o krb5.conf.
- riservatezza
-
Servizio di sicurezza in cui i dati trasmessi vengono cifrati prima di essere inviati. La riservatezza include anche l'integrità dei dati e l'autenticazione dell'utente. Vedere anche autenticazione, integrità, servizio.
- scostamento orario
-
Differenza di tempo massima consentita tra gli orologi di sistema interni degli host che partecipano al sistema di autenticazione Kerberos. Se lo scostamento orario viene superato da uno qualsiasi degli host, le richieste vengono rifiutate. Lo scostamento orario può essere specificato nel file krb5.conf.
- SEAM
-
(Sun Enterprise Authentication Mechanism) Sistema per l'autenticazione degli utenti di una rete, basato sulla tecnologia Kerberos V5 sviluppata dal Massachusetts Institute of Technology.
Nella documentazione di SEAM, i termini "SEAM" e "Kerberos" sono spesso usati in modo intercambiabile.
- server
-
Nome principale speciale che fornisce una risorsa a client di rete. Ad esempio, se si effettua una connessione con rlogin al sistema milano.euro.spa.it, quel sistema è il server che fornisce il servizio di rlogin. Vedere anche nome principale di servizio.
- server di applicazioni
-
Vedere server di applicazioni di rete.
- server di applicazioni di rete
-
Server che fornisce un'applicazione di rete, ad esempio ftp. Ogni settore può contenere diversi server di applicazioni di rete.
- servizio
-
-
Risorsa fornita ai client di rete da uno o più server. Ad esempio, se si esegue rlogin sul sistema milano.euro.spa.it, quel sistema è il server che fornisce il servizio di rlogin.
-
Servizio di sicurezza (di integrità o riservatezza) che fornisce un livello di protezione aggiuntivo oltre all'autenticazione. Vedere anche integrità e riservatezza.
-
- servizio di sicurezza
-
Vedere servizio.
- settore
-
-
Rete logica servita da un unico database SEAM e da un insieme di KDC (Key Distribution Center).
-
La terza parte di un nome principale. Nel nome principale mario/admin@EURO.SPA.IT, il settore è EURO.SPA.IT. Vedere anche nome principale.
-
- sistema di sicurezza
-
Storicamente, sistema di sicurezza e sistema di autenticazione venivano usati con lo stesso significato, per indicare uno dei tipi di autenticazione AUTH_UNIX, AUTH_DES e AUTH_KERB. Anche RPCSEC_GSS è un sistema di sicurezza, ma oltre al servizio di autenticazione fornisce anche servizi di integrità e riservatezza.
- tabella di chiavi
-
File di una tabella di chiavi contenente una o più chiavi (nomi principali). Gli host o i servizi utilizzano il file della tabella di chiavi allo stesso modo in cui gli utenti utilizzano le password.
- TGS
-
(Ticket-Granting Service) Parte del KDC responsabile per l'emissione dei ticket.
- TGT
-
(Ticket-Granting Ticket) Ticket generato dal KDC che permette a un client di richiedere ticket per altri servizi.
- ticket
-
Pacchetto di informazioni usato per trasmettere in modo sicuro l'identità di un utente a un server o a un servizio. Un ticket è valido solo per un client e per un determinato servizio su un server specifico. Esso contiene il nome principale del servizio, il nome principale dell'utente, l'indirizzo IP dell'host dell'utente, un'indicazione di data e ora e un valore che definisce la durata del ticket. I ticket vengono creati con una chiave di sessione casuale utilizzata dal client e dal servizio. Una volta creato, un ticket può essere riutilizzato fino alla sua data di scadenza. Un ticket può servire ad autenticare un client solo se viene presentato insieme a dati di autenticazione recenti. Vedere anche dati di autenticazione, credenziale, servizio, chiave di sessione.
- ticket delegabile
-
Ticket che può essere usato da un servizio per eseguire un'operazione per conto di un client. (Si dice che il servizio funge da proxy per il client.) Con questo ticket, il servizio può assumere l'identità del client e ottenere un ticket per un altro servizio, ma non può ottenere un TGT. La differenza tra un ticket delegabile e un ticket inoltrabile è che il ticket delegabile è valido solo per una singola operazione. Vedere anche ticket inoltrabile.
- ticket iniziale
-
Ticket che viene emesso direttamente (cioè non in base a un TGT esistente). Alcuni servizi, come le applicazioni per la modifica delle password, richiedono un ticket iniziale per avere la certezza che il client conosca la sua chiave segreta: un ticket iniziale indica infatti che il client si è autenticato recentemente (a differenza dei TGT, che possono essere stati generati molto tempo prima).
- ticket inoltrabile
-
Ticket che può essere usato da un client per richiedere un ticket su un host remoto senza dover svolgere l'intero processo di autenticazione su quell'host. Ad esempio, se l'utente davide ottiene un ticket inoltrabile operando dal sistema di giovanna, egli potrà eseguire il login nel suo sistema senza dover ottenere un nuovo ticket (e quindi senza doversi autenticare nuovamente). Vedere anche ticket delegabile.
- ticket non valido
-
Ticket postdatato che non è ancora diventato utilizzabile. Questi ticket vengono rifiutati dai server di applicazioni finché non vengono convalidati. Per diventare valido, il ticket deve essere presentato al KDC dal client in una richiesta TGS, con il flag VALIDATE, una volta trascorsa la data di inizio. Vedere anche ticket postdatato.
- ticket postdatato
-
I ticket postdatati sono ticket che diventano validi solo dopo un certo tempo dalla loro creazione. Questi ticket sono utili, ad esempio, per i lavori batch che devono essere eseguiti di notte, poiché, anche se vengono carpiti, non possono essere usati fino all'ora stabilita per l'esecuzione del lavoro batch. Quando vengono generati, i ticket postdatati sono ticket non validi, e rimangono tali fino a quando: a) non è trascorsa l'ora iniziale, e b) il client non richiede la loro convalida al KDC. I ticket postdatati sono generalmente validi fino alla scadenza del TGT; tuttavia, se sono contrassegnati come rinnovabili, la loro durata è normalmente uguale alla durata completa del TGT. Vedere anche ticket non valido, ticket rinnovabile.
- ticket rinnovabile
-
Poiché un ticket con una durata lunga rappresenta un rischio per la sicurezza, è possibile creare ticket che siano rinnovabili. Un ticket rinnovabile ha due date di scadenza: la data di scadenza dell'istanza corrente del ticket, e la durata massima valida per tutti i ticket. Se un client vuole continuare ad usare un ticket, esso può rinnovarlo prima della prima data di scadenza. Ad esempio, si supponga che un ticket abbia una validità di un'ora e che la durata massima generale dei ticket sia di dieci ore. Se il client che detiene il ticket desidera usarlo per più di un'ora, esso deve rinnovarlo. Una volta raggiunta la durata massima valida per tutti i ticket, il ticket scade automaticamente e non può essere rinnovato.
- © 2010, Oracle Corporation and/or its affiliates