test

Sun Enterprise Authentication Mechanism Handbuch

Glossar

Admin-Hauptbenutzer

Ein Benutzer-Hauptbenutzer mit einem Namen der Form benutzername/admin (wie in josef/admin). Ein Admin-Hauptbenutzer kann über mehr Berechtigungen verfügen (z. B. zum Ändern von Richtlinien) als ein normaler Benutzer-Hauptbenutzer. Siehe auch Hauptbenutzername, Benutzer-Hauptbenutzer.

Anwendungs-Server

Siehe Netzwerkanwendungs-Server.

Authentisierer

Authentisierer werden von Clients bei der Anforderung von Tickets (von einem KDC) und von Services (von einem Server) übergeben. Sie enthalten mit einem Sitzungsschlüssel generierte Informationen, der nur dem Client und dem Server bekannt ist. Die kürzliche Erstellung des Schlüssels ist ersichtlich und weist darauf hin, daß die Transaktion sicher ist. Ein Authentisierer kann zusammen mit einem Ticket zur Authentisierung eines Benutzer-Hauptbenutzers verwendet werden. Ein Authentisierer umfaßt den Hauptbenutzernamen des Benutzers, die IP-Adresse vom Host des Benutzers und einen Zeitstempel. Im Gegensatz zum Ticket kann ein Authentisierer nur einmal verwendet werden, was normalerweise bei der Anforderung des Zugriffs auf einen Service erfolgt. Ein Authentisierer wird mit dem Sitzungsschlüssel für diesen Client und diesen Server verschlüsselt.

Authentisierung

Die Verifizierung einer vorgegebenen Identität eines Hauptbenutzers.

Autorisierung

Die Festlegung, ob ein Hauptbenutzer einen Service verwenden kann, auf welche Objekte der Hauptbenutzer zugreifen darf und welche Zugriffsart für jedes Objekt erlaubt ist.

Benutzer-Hauptbenutzer

Ein Hauptbenutzer, der einem bestimmten Benutzer zugeschrieben wird, dessen primärer Name einen Benutzernamen darstellt. Seine optionale Instanz wird zur Beschreibung der geplanten Verwendung der entsprechenden Berechtigungsnachweise verwendet (zum Beispiel josef oder josef/admin). Auch als Benutzerinstanz bekannt. Siehe auch Service-Hauptbenutzer.

Berechtigungsnachweis

Ein Informationspaket, das ein Ticket und einen passenden Sitzungsschlüssel einbezieht. Der Berechtigungsnachweis wird zur Authentisierung der Identität eines Hauptbenutzers verwendet. Siehe auch Ticket, Sitzungsschlüssel.

Berechtigungsnachweis-Cache

Ein Speicherort (normalerweise eine Datei), der vom KDC empfangene Berechtigungsnachweise enthält.

Bereich

  1. Das logische Netzwerk, das von einer einzelnen SEAM-Datenbank und einer Reihe von Key Distribution Centers (KDCs) versorgt wird.

  2. Der dritte Teil eines Hauptbenutzernamens. Für den Hauptbenutzernamen josef/admin@ENG.ACME.COM stellt ENG.ACME.COM den Bereich dar. Siehe auch Hauptbenutzername.

Beziehung

Eine in den Dateien kdc.conf oder krb5.conf definierte Konfigurationsvariable oder Beziehung.

Client

  • Vereinfacht ausgedrückt, ein Prozeß, der einen Netzwerk-Service für einen Benutzer einsetzt; beispielsweise eine Anwendung, die ein rlogin verwendet. In einigen Fällen kann ein Server selbst einen Client eines anderen Servers oder Services darstellen.

  • Allgemeiner gesagt, handelt es sich um einen Host, der a) einen Kerberos-Berechtigungsnachweis erhält und b) einen Service verwendet, der von einem Server bereitgestellt wird.

Inoffiziell ist dies ein Hauptbenutzer, der einen Service verwendet.

Client-Hauptbenutzer

(RPCSEC_GSS API) Ein Client (ein Benutzer oder eine Anwendung), der RPCSEC_GSS-gesicherte Netzwerkdienste verwendet. Client-Hauptbenutzernamen werden in der Form von rpc_gss_principal_t -Strukturen gespeichert.

Erneuerbares Ticket

Da Tickets mit sehr langer Lebensdauer ein Risiko darstellen, können Tickets auch als erneuerbar angegeben werden. Ein erneuerbares Ticket besitzt zwei Ablaufzeiten: Die Zeit, zu der das aktuelle Exemplar des Tickets abläuft und die maximale Lebensdauer für alle Tickets. Wenn ein Client ein Ticket weiterverwenden möchte, erneuert er es vor Verstreichen der ersten Ablauffrist. Ein Ticket kann z. B. für eine Stunde gültig sein, während alle Tickets eine maximale Lebensdauer von zehn Stunden besitzen. Wenn der Client sein Ticket länger als eine Stunde verwenden möchte, muß er es erneuern. Mit Erreichen der maximalen Ticket-Lebensdauer läuft das Ticket automatisch ab und kann nicht mehr erneuert werden.

FQDN

Voll qualifizierter Domain-Name (Fully Qualified Domain Name). Zum Beispiel hannover.mtn.acme.com (im Vergleich zur einfacheren Variante hannover).

Geheimhaltung

Siehe Vertraulichkeit.

Geheimschlüssel

Siehe Privater Schlüssel.

GSS-API

Die allgemeine Programmierschnittstelle für Sicherheits-Services (Generic Security Service Application Programming Interface). Eine Netzwerkebene, die verschiedene modulare Sicherheits-Services (einschließlich SEAM) unterstützt. Die GSS-API stellt die Sicherheitsauthentisierung sowie die Services für Integrität und Vertraulichkeit bereit. Siehe auch Authentisierung, Integrität, Vertraulichkeit.

Hauptbenutzer

  1. Eine eindeutig benannte Client-/Benutzer-Instanz oder Server-/Service-Instanz, die an der Kommunikation im Netzwerk teilnimmt; Kerberos-Transaktionen umfassen Interaktionen zwischen Hauptbenutzern (Service-Hauptbenutzer und Benutzer-Hauptbenutzer) oder zwischen Hauptbenutzern und KDCs. Anders gesagt, stellt ein Hauptbenutzer ein eindeutiges Objekt dar, dem Kerberos Tickets zuweisen kann. Siehe auch Hauptbenutzername, Service-Hauptbenutzer, Benutzer-Hauptbenutzer.

  2. (RPCSEC_GSS API) Siehe Client-Hauptbenutzer, Server-Hauptbenutzer.

Hauptbenutzername

  1. Der Name eines Hauptbenutzers mit dem Format primär/instanz@BEREICH . Siehe auch Instanz, Primär, Bereich.

  2. (RPCSEC_GSS API) Siehe Client-Hauptbenutzer, Server-Hauptbenutzer.

Host

Ein System, auf das über ein Netzwerk zugegriffen werden kann.

Host-Hauptbenutzer

Eine bestimmte Instanz eines Service-Hauptbenutzers, in der der Hauptbenutzer (gekennzeichnet durch den primären Namen Host) eingerichtet wird, um eine Reihe von Netzwerkdiensten, wie z. B. ftp, rcp oder rlogin bereitzustellen. host/hamburg.eng.acme.com@ENG.ACME.COM stellt ein Beispiel für einen Host-Hauptbenutzer dar. Siehe auch Server-Hauptbenutzer.

Initialticket

Ein Ticket, das direkt vergeben wird (d. h., es basiert nicht auf einem vorhandenen Ticket-granting Ticket). Einige Services, wie z. B. Anwendungen zum Ändern von Paßwörtern, erfordern möglicherweise Tickets, die als initial markiert sind, um sich zu vergewissern, daß der Client den Geheimschlüssel kennt -- da ein Anfangsticket anzeigt, daß der Client sich selbst kürzlich authentisiert hat (anstatt sich auf ein Ticket-granting Ticket zu verlassen, das sich möglicherweise schon einige Zeit im Umlauf befindet).

Instanz

Der zweite Teil eines Hauptbenutzernamens, der den primären Teil des Hauptbenutzers näher bestimmt.Im Falle eines Service-Hauptbenutzers ist die Instanz erforderlich und stellt den voll qualifizierten Domain-Namen des Hosts dar, wie in host/hamburg.eng.acme.com. Für Benutzer-Hauptbenutzer ist die Angabe der Instanz optional. Beachten Sie jedoch, daß josef und josef/admin eindeutige Hauptbenutzer sind. Siehe auch Hauptbenutzername, Service-Hauptbenutzer, Benutzer-Hauptbenutzer.

Integrität

Ein Sicherheits-Service, der, zusätzlich zur Benutzerauthentisierung, die Gültigkeit übertragener Daten sicherstellt, indem kryptografische Prüfsummen angewendet werden. Siehe auch Authentisierung, Vertraulichkeit.

KDC

(Key Distribution Center) Ein System, das aus drei Kerberos V5-Komponenten besteht:

  • Hauptbenutzer und Schlüsseldatenbank

  • Authentisierungs-Service

  • Ticket-granting-Service

Jeder Bereich verfügt über ein Master-KDC und sollte ein oder mehrere Slave-KDCs besitzen.

Kerberos

Ein Authentisierungs-Service, das von diesem Service verwendete Protokoll oder der zur Implementierung dieses Services verwendete Code.

SEAM stellt eine Implementation der Authentisierung dar, die eng an Kerberos V5 angelehnt ist.

Obwohl sie technisch gesehen unterschiedlich sind, werden "SEAM" und "Kerberos" in der SEAM-Dokumentation häufig gleichbedeutend verwendet; "Kerberos" und "Kerberos V5" werden ebenfalls häufig gleichbedeutend verwendet.

Kerberos (oder auch Zerberus) verkörperte in der griechischen Mythologie einen wilden, dreiköpfigen Hund, der die Tore des Hades bewachte.

kvno

Schlüssel-Versionsnummer (Key Version Number). Eine Sequenznummer, die einen bestimmten Schlüssel in der Reihenfolge der Generierung kennzeichnet. Die höchste kvno kennzeichnet den letzten und aktuellsten Schlüssel.

Master-KDC

Das Haupt-KDC in jedem Bereich, einschließlich eines Verwaltungs-Servers von Kerberos, kadmind und eines Dämons zur Authentisierung und zur Ticket-Freigabe, krb5kdc . Jeder Bereich muß über mindestens ein Master-KDC verfügen und kann viele doppelte oder Slave-KDCs besitzen, die Authentisierungs-Services für Clients bereitstellen.

Mechanismus

Ein Software-Paket, das kryptografische Verfahren zum Erreichen der Datenauthentisierung oder Geheimhaltung festlegt. Beispiele: Kerberos V5, öffentlicher Schlüssel (Diffie-Hellman).

Nachdatiertes Ticket

Ein nachdatiertes Ticket wird erst zu einem angegebenen Zeitpunkt nach seiner Erstellung gültig. Diese Tickets sind beispielsweise für Stapelaufträge nützlich, die in der Nacht ausgeführt werden, da das Ticket nicht vor der Ausführung des Stapelauftrags verwendet werden kann, falls es gestohlen wird. Bei der Ausstellung eines nachdatierten Tickets erhält dieses den Parameter ungültig (invalid) und bleibt ungültig, bis a) seine Startzeit erreicht wurde und b) der Client die Validierung beim KDC angefordert hat. Ein nachdatiertes Ticket ist normalerweise gültig, bis das Ticket-granting Ticket abgelaufen ist; wurde es jedoch als erneuerbar (renewable) markiert, entspricht seine Lebensdauer normalerweise der gesamten Gültigkeitsdauer des Ticket-granting Tickets. Siehe auch Ungültiges Ticket, Erneuerbares Ticket.

Netzwerkanwendungs-Server

Ein Server, der eine Netzwerkanwendung bereitstellt, wie z. B. ftp. Ein Bereich kann verschiedene Netzwerkanwendungs-Server enthalten.

NTP

Netzwerkzeit-Protokoll (Network Time Protocol). Eine Software von der University of Delaware, die Ihnen die exakte Synchronisation der Zeit und/oder Netzwerkuhr in einer Netzwerkumgebung ermöglicht.Sie können das NTP verwenden, um die zulässige Zeitabweichung für die Uhr in einer Kerberos-Umgebung zu verwalten.

PAM

Hinzufügbares Authentisierungsmodul (Pluggable Authentication Module). Ein Framework, das die Verwendung mehrerer Authentisierungsmechanismen ermöglicht, ohne die erneute Kompilierung der Services zu erfordern, die diese Mechanismen verwenden. PAM aktiviert die Initialisierung der SEAM-Sitzung bei der Anmeldung.

Primär

Der erste Teil eines Hauptbenutzernamens. Siehe auch Instanz, Hauptbenutzername, Bereich.

Privater Schlüssel

Ein Schlüssel, der jedem Benutzer-Hauptbenutzer übergeben wird und nur dem Benutzer des Hauptbenutzers sowie dem KDC bekannt ist. Bei Benutzer-Hauptbenutzern basiert der Schlüssel auf dem Paßwort des Benutzers. Siehe auch Schlüssel.

QOP

Schutzumfang (Quality of Protection) Ein Parameter für die Auswahl des kryptografischen Algorithmusses, der zusammen mit dem Service für die Integrität oder Vertraulichkeit verwendet wird.

Richtlinie

Eine Reihe von Regeln zur Verwendung von Tickets, die bei der Installation oder Verwaltung von SEAM festgelegt werden. Richtlinien können die Zugriffe von Hauptbenutzern oder Ticketparameter steuern, wie z. B. Lebensdauer (lifespan).

Schlüssel

  1. Ein Eintrag (Hauptbenutzername) in einer Schlüsseltabelle. (Siehe Schlüsseltabelle.)

  2. Ein Verschlüsselungsschlüssel, von dem drei Arten verfügbar sind:

    1. Ein privater Schlüssel. Ein Verschlüsselungsschlüssel, der vom Hauptbenutzer und dem KDC gemeinsam genutzt wird und außerhalb des Systems weitergegeben wird. Siehe auch Privater Schlüssel.

    2. Ein Service-Schlüssel. Dieser Schlüssel dient demselben Zweck wie der private Schlüssel, wird aber von Servern und Services verwendet. Siehe auch Service-Schlüssel.

    3. Ein Sitzungsschlüssel. Ein temporärer Verschlüsselungsschlüssel, der zwischen zwei Hauptbenutzern eingesetzt wird und dessen Gültigkeit auf die Dauer einer einzelnen Anmeldesitzung beschränkt ist. Siehe auch Sitzungsschlüssel.

Schlüsseltabelle

Eine Schlüsseltabellendatei, die einen oder mehrere Schlüssel (Hauptbenutzer) enthält. Die Schlüsseltabellendatei wird von einem Host oder Service fast genauso verwendet, wie ein Paßwort vom Benutzer.

SEAM

(Sun Enterprise Authentication Mechanism) Ein System zur Authentisierung von Benutzern für ein Netzwerk, das auf dem Kerberos V5-Verfahren basiert, das am Massachusetts Institute of Technology (MIT) entwickelt wurde.

"SEAM" und "Kerberos" werden in der SEAM-Dokumentation häufig gleichbedeutend verwendet.

Server

Ein bestimmter Hauptbenutzer, der eine Ressource für Netzwerk-Clients bereitstellt. Wenn Sie z. B. ein rlogin für das System hamburg.eng.acme.com durchführen, dann stellt dieses System den Server dar, der den Service rlogin bereitstellt. Siehe auch Service-Hauptbenutzer.

Server-Hauptbenutzer

(RPCSEC_GSS API) Ein Hauptbenutzer, der einen Service bereitstellt. Dieser wird als ASCII-Zeichenfolge in der Form Service@host gespeichert.Siehe auch Client-Hauptbenutzer.

Service

  1. Eine für Netzwerk-Clients bereitgestellte Ressource. Diese wird häufig von mehreren Servern bereitgestellt. Wenn Sie z. B ein rlogin auf dem System hamburg.eng.acme.com durchführen, dann stellt dieses System den Service rlogin bereit.

  2. Ein Sicherheits-Service -- entweder für die Integrität oder Vertraulichkeit, der eine über die Authentisierung hinausgehende Sicherheitssstufe bereitstellt. Siehe auch Integrität und Vertraulichkeit.

Service-Hauptbenutzer

Ein Hauptbenutzer, der eine Kerberos-Authentisierung für einen Service oder für Services bereitstellt.Bei Service-Hauptbenutzern stellt der primäre Name einen Servicenamen dar, wie z. B. ftp, und die Instanz steht für den voll qualifizierten Host-Namen des Systems, das den Service bereitstellt. Siehe auch Host-Hauptbenutzer, Benutzer-Hauptbenutzer.

Service-Schlüssel

Ein Verschlüsselungsschlüssel, der von einem Service-Hauptbenutzer und dem KDC gemeinsam genutzt wird und außerhalb des Systems weitergegeben wird. Siehe auch Schlüssel.

Sicherheits-Service

Siehe Service.

Sicherheitsmechanismus

Siehe Mechanismus.

Sicherheitsvariante

Siehe Variante.

Sitzungsschlüssel

Ein vom Authentisierungs-Service oder Ticket-granting-Service generierter Schlüssel.Ein Sitzungsschlüssel wird generiert, um sichere Transaktionen zwischen einem Client und einem Service bereitzustellen.Seine Lebensdauer ist auf eine einzelne Anmeldesitzung beschränkt. Siehe auch Schlüssel.

Slave-KDC

Eine Kopie eines Master-KDCs, die auch die meisten Funktionen der Master-KDC durchführen kann.Jeder Bereich besitzt normalerweise mehrere Slave-KDCs (und nur ein Master-KDC). Siehe auch KDC, Master-KDC.

stash-Datei

Eine stash-Datei enthält eine verschlüsselte Kopie des Master-Schlüssels für das KDC. Dieser Schlüssel wird beim Neustart eines Servers verwendet, um das KDC automatisch vor der Ausführung der Prozesse kadmind und krb5kdc zu authentisieren. Da diese Datei den Master-Schlüssel enthält, sollte die Datei sowie sämtliche Kopien gesichert aufbewahrt werden. Wenn die Verschlüsselung beeinträchtigt ist, kann der Schlüssel dazu verwendet werden, um auf die KDC-Datenbank zuzugreifen oder sie zu verändern.

TGS

(Ticket-Granting Service) Der Teil des KDC, der für die Ausgabe von Tickets zuständig ist.

TGT

(Ticket-Granting Ticket) Ein vom KDC verteiltes Ticket, das es einen Client ermöglicht, Tickets für andere Services anzufordern.

Ticket

Ein Informationspaket für die sichere Weitergabe der Identität eines Benutzers an einen Server oder einen Service. Ein Ticket ist nur für einen einzelnen Client und einen bestimmten Service auf einem bestimmten Server gültig. Es enthält den Hauptbenutzernamen des Services, den Hauptbenutzernamen des Benutzers und die IP-Adresse vom Host des Benutzers sowie einen Zeitstempel und einen Wert, um die Lebensdauer des Tickets zu definieren. Ein Ticket wird mit einem Zufallssitzungsschlüssel erstellt, der vom Client und vom Service verwendet wird. Nach der Erstellung eines Tickets kann dieses wiederverwendet werden, bis es abläuft. Ein Ticket dient nur zur Authentisierung eines Clients, wenn dieser zusammen mit einem unverbrauchten Authentisierer präsentiert wird. Siehe auch Authentisierer, Berechtigungsnachweis, Service, Sitzungsschlüssel.

Ticket-Datei

Siehe Berechtigungsnachweis-Cache.

Ungültiges Ticket

Ein nachdatiertes Ticket, das noch nicht gültig ist. Es wird von einem Anwendungs-Server zurückgewiesen, bis es gültig ist. Das Ticket muß dem KDC von einem Client in einer TGS-Anforderung mit gesetzter Option VALIDATE vorgelegt werden, nachdem seine Startzeit erreicht wurde, um gültig zu werden. Siehe auch Nachdatiertes Ticket.

Variante

Historisch gesehen, hatten die Sicherheitsvariante und Authentisierungsvariante dieselbe Bedeutung, da eine Variante die Art der Authentisierung kennzeichnete (AUTH_UNIX, AUTH_DES, AUTH_KERB). Der RPCSEC_GSS ist ebenfalls eine Sicherheitsvariante, obwohl er zusätzlich zur Authentisierung auch die Services für Integrität und Vertraulichkeit bereitstellt.

Verschlüsselung mit privatem Schlüssel

Bei der Verschlüsselung mit privaten Schlüsseln verwenden der Sender und Empfänger denselben Schlüssel für die Verschlüsselung.Siehe auch Verschlüsselung mit öffentlichem Schlüssel.

Verschlüsselung mit öffentlichem Schlüssel

Ein Verschlüsselungsschema, in dem jeder Benutzer über zwei Schlüssel verfügt, wobei der eine öffentlich und der andere privat ist.Bei der Verschlüsselung mit öffentlichem Schlüssel verwendet der Sender den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger verwendet dann einen privaten Schlüssel, um sie wieder zu entschlüsseln. SEAM ist ein System mit privaten Schlüsseln. Siehe auch Verschlüsselung mit privatem Schlüssel.

Vertraulichkeit

Ein Sicherheits-Service, bei dem zu übertragende Daten vor dem Versenden verschlüsselt werden.Die Vertraulichkeit umfaßt auch die Datenintegrität und Benutzerauthentisierung. Siehe auch Authentisierung, Integrität, Service.

Vollmachten-Ticket

Ein Ticket, das von einem Service im Auftrag eines Clients verwendet werden kann, um eine Operation für den Client durchzuführen. (Somit besitzt der Service die Vollmachten des Clients.) Mit dem Ticket kann der Service auch die Identität des Clients annehmen. Der Service kann auf diese Weise ein Service-Ticket für einen anderen Service, jedoch kein Ticket-granting Ticket erhalten. Der Unterschied zwischen einem Vollmachten-Ticket und einem weiterreichbaren Ticket besteht darin, daß Vollmachten-Tickets nur für eine einzelne Operation gültig sind. Siehe auch Weiterreichbares Ticket.

Weiterreichbares Ticket

Ein Ticket, das von einem Client zur Anforderung eines Tickets auf einem entfernten Host verwendet werden kann, ohne daß der Client den vollständigen Authentisierungsprozeß auf diesem Host durchlaufen muß. Wenn z. B. der Benutzer david ein weiterreichbares Ticket erhält, während er sich auf dem System von jennifer befindet, kann er sich auf seinem eigenen System anmelden, ohne ein neues Ticket abrufen zu müssen (und sich somit erneut selbst authentisieren zu müssen). Siehe auch Vollmachten-Ticket.

Zeitabweichung

Der maximale Zeitunterschied, der zwischen den internen Systemuhren aller Hosts bestehen darf, die am Kerberos-Authentisierungssystem teilnehmen. Wenn die zulässige Zeitabweichung für die Uhr bei einem beliebigen teilnehmenden Host überschritten wird, werden Anforderungen zurückgewiesen. Die zulässige Zeitabweichung für die Uhr kann in der Datei krb5.conf festgelegt werden.