Sun 企业鉴别机制指南

词汇表

admin 授权对象

一个名称有如用户名/admin 格式的用户授权对象 (例如 joe/admin)。与一个常规用户授权对象相比，一个 admin 授权对象可以拥有更多的特权 (例如，更改策略)。另请参见授权对象名称, 用户授权对象。

应用程序服务器

请参见网络应用程序服务器。

鉴别

对一个授权对象所声称的身份进行验证的过程。

鉴别符

当请求票券 (从一个 KDC) 和服务 (从一个服务器)时，鉴别符就由客户机进行传递。它们包含一些借助一个只为客户机和服务器知晓的对话密钥生成的信息，这些信息可以显示是来自最近的来源，从而指示事务是安全的。当与一个票券一同使用时，一个鉴别符就可以用来鉴别一个用户授权对象。一个鉴别符包括用户的授权对象名称，用户主机的 IP 地址，以及一个时戳。不同于一个票券，一个鉴别符只能使用一次，通常是在请求访问某项服务时。鉴别符是借助针对该客户机和该服务器的对话密钥而经过加密的。

授权

确定一个授权对象是否可以使用某项服务，允许授权对象访问哪些对象，以及所允许的每个访问的类型的步骤。

客户机

从狭义上讲，一个代表用户利用某项网络服务的进程; 例如，一个使用 rlogin 的应用程序。在某些情形下，一个服务器自身可以是其它某个服务器或服务的一个客户机。
从更广义上讲，一个有如下特性的主机 a) 接收一个 Kerberos 资格以及 b) 利用某个服务器所提供的某项服务。

不太正规来讲，利用某项服务的一个授权对象。

客户机授权对象

(RPCSEC_GSS API) 一个使用具有 RPCSEC_GSS 安全保障的网络服务的客户机 (用户或应用程序)。客户机授权对象名称是以 rpc_gss_principal_t 的结构形式加以存储的。

时钟相位差

参与 Kerberos 鉴别系统的所有服务器上的内部系统时钟可以相差的最大时间量。如果其中任意参与服务器之间的时钟相位差被超过，则请求将遭到拒绝。可以在 krb5.conf 文件中对时钟相位差加以指定。

保密性

请参见隐私。

资格

一种信息包，其中包括一个票券和一个相匹配的对话密钥。用于鉴别一个授权对象的身份。另请参见票券, 对话密钥。

资格高速缓存

一个存储空间 (通常是一个文件)，其中包含从 KDC 收到的资格。

风格

从历史上讲，安全风格 和 鉴别风格 是一个意思，因为风格指的是类型鉴别中的一个 (AUTH_UNIX, AUTH_DES, AUTH_ KERB)。 RPCSEC_GSS 也是一个安全风格，尽管作为对鉴别的补充，它还提供完整性和隐私服务。

可转发票券

一种票券，客户机可用来在一个远程主机上请求一个票券，而该客户机不必在该主机上进行全套的鉴别步骤。例如，如果用户 david 在 jennifer 的机器上时获得了一个可转发票券，他就可以登录到他自己的机器，而不必获得一个新的票券 (为了再次鉴别其自己)。另请参见可代理票券。

FQDN

完全合格域名。例如， denver.mtn.acme.com(相对于简单写作 denver)。

GSS-API

类属安全服务应用程序编程接口。一个网络层，为各种各样模块化安全服务 (其中包括 SEAM) 提供支持。 GSS-API 提供有安全鉴别，完整性，和隐私服务。另请参见鉴别、完整性、隐私。

主机

一台可以跨越一个网络进行访问的机器。

主机 授权对象

某个服务授权对象的一个具体实例，其中授权对象 (用主干名 host 加以表示) 被设置为提供一系列的网络服务，诸如 ftp、 rcp、或 rlogin。 host/boston.eng.acme.com@ENG.ACME.COM 是主机授权对象的一个示例。另请参见服务器授权对象。

初始票券

直接发放的一种票券 (即，并非基于一个现有的具有票券授予权的票券)。某些服务，诸如更改口令的应用程序，可能会要求票券标记为 初始 ，以便确信客户机可以证明其知晓其密钥 - 因为一个初始票券指示客户机最近业已进行过自身鉴别 (而不是依赖于一个具有票券授予权的票券，而这有可能业已存在很长一段时间了)。

实例

授权对象名称的第二部分，一个实例对授权对象的主干进行限定。如果是服务授权对象，则要求有实例，且是主机的完全合格域名，例如 host/boston.eng.acme.com。对于用户授权对象，实例是可选的; 然而请注意， joe 和 joe/admin 是独立的授权对象。另请参见授权对象名称、服务授权对象、用户授权对象。

完整性

一项安全服务，作为对用户鉴别的补充，通过加密校验和来保证所传输的数据的有效性。另请参见鉴别、隐私。

无效票券

一个尚未可用的超期票券。其将遭到应用程序服务器的拒绝，直到得到证实。如要得到证实，其就必须在其启动时间已过之后，通过一个 TGS 请求，由客户机提交给 KDC, 其中 VALIDATE 标志得到设定。另请参见超期票券。

KDC

(密钥分配中心) 一台拥有三个 Kerberos V5 部件的机器:

授权对象和密钥数据库
鉴别服务
票券授予服务

每个区域拥有一个主 KDC 且应当拥有一个或多个从 KDC.

Kerberos

一项鉴别服务，该服务所使用的协议，或用于实现该服务的编码。

SEAM 是紧密基于 Kerberos V5 的一个鉴别实现方案。

尽管 "SEAM" 和 " Kerberos" 在技术上是不同的，但在 SEAM 文档中经常是可以互相换用的; " Kerberos" 和 " Kerberos V5." ;也是这样。

Kerberos (也拼作 Cerberus) 是希腊神化中的一只残暴的三头猛犬，它守护着 Hades 的大门。

密钥

keytab 中的一个条目 (授权对象名称)。 (请参见 keytab。)
一种加密钥匙，共有三个类型:
1. 私有密钥。一个授权对象和 KDC 共有的加密钥匙，是在系统界限之外加以散布的。另请参见私有密钥。
2. 服务密钥。该密钥的服务目标与私有密钥相同，但为服务器和服务所用。另请参见服务密钥。
3. 对话密钥。两个授权对象之间使用的一种临时加密钥匙，其期限限于一个登录对话。另请参见对话密钥。

keytab

包含一个或多个密钥 (授权对象)的密钥表文件。主机或服务使用密钥表文件的方式与用户使用口令很相象。

kvno

密钥版本号码。系列号码，以生成顺序对某个具体密钥进行跟踪。最高的 kvno 就是最新的和当前的密钥。

主 KDC

每个区域中的主 KDC，其中包括一个 Kerberos 管理服务器, kadmind, 和一个鉴别和票券授予守候程序, krb5kdc。每个区域必须至少拥有一个主 KDC, 且可以拥有多个副本或从 KDC，提供鉴别服务给客户机。

机制

一个软件包，指定加密技术，以达到数据鉴别或机密。示例: Kerberos V5, Diffie-Hellman 公用密钥.

网络应用程序服务器

一个提供网络应用程序的服务器，诸如 ftp。一个区域可以包含多个网络应用程序服务器。

NTP

(网络时间协议) 来自 University of Delaware 的软件，使您可以在一个网络环境中管理精确的时间和/或网络时钟同步。您可以使用 NTP 来在一个 Kerberos 环境中维护时钟相位差。

PAM

(可插鉴别模块) 一种框架结构，允许使用多重鉴别机制，而不必重对新使用这些机制的服务进行编译。 PAM 在登录时启用 SEAM 对话初始化。

策略

一套规则，在安装或管理 SEAM 时得到启动，管辖票券使用情况。策略可以调控授权对象的访问，或票券参数，诸如期限。

超期票券

超期票券是一种票券，其在创建之后，直到某个指定的时间才变为有效。此类票券很有用，例如，用于打算在深夜运行的批处理任务，因为该票券如果被偷的话，只有批处理任务运行才可以使用。当一个超期票券被发放时，其是作为 无效 发放的，且保持该状态，直到 a) 其启动时间已过，且 b) 客户机请求由 KDC 加以证实。超期票券通常保持有效，一直到具有票券授予权的票券的到期时间; 然而，如果其被标记为可续延, 其期限通常设定为等于具有票券授予权的票券的完整期限的时长。另请参见无效票券, 可续延票券。

主干

一个授权对象名称的第一个部分。另请参见实例, 授权对象名称, 区域。

授权对象

独特命名的客户机/用户或服务器/服务实例，参与网络通信; Kerberos 事务涉及 (服务授权对象和用户授权对象) 之间或授权对象和 KDC 之间的事务。换言之，一个授权对象是一个独特的实体， Kerberos 可以向其分派票券。另请参见授权对象名称、服务授权对象、用户授权对象。
(RPCSEC_GSS API) 请参见客户机授权对象、服务器授权对象。

授权对象名称

一个授权对象的名称，其格式有如 primary/instance@REALM。另请参见实例、主干、区域。
(RPCSEC_GSS API) 请参见客户机授权对象、服务器授权对象。

隐私

一种安全服务，其所传输的数据在发送之前经过加密。隐私还包括数据完整性和用户鉴别。另请参见鉴别、完整性、服务。

私有密钥

每个用户授权对象均被给予一个密钥，且该密钥只为授权对象的用户和 KDC 所知晓。对于用户授权对象，密钥是基于用户的口令的。另请参见密钥。

私有密钥加密

在私有密钥加密中，发送方和接收方将同一密钥用作加密。另请参见公用密钥加密。

可代理票券

一种票券，可以被某项服务用于代表客户机为客户机进行操作。(从而服务被称作作为客户机的代理行事。) 借助票券，服务可以具有客户机的身份。服务可以用来为另一项服务获得票券，但无法获得一个具有票券授予权的票券。可代理票券和可转发票券之间的区别在于，一个可代理票券只对单独一个操作有效。另请参见可转发票券。

公用密钥加密

一种加密方案，其中每个用户拥有两个密钥，一个公用和一个私有。在公用密钥加密中，发送方使用接收方的公用密钥来为消息加密，而接收方使用一个私有密钥来将其解密。 SEAM 是一个私有密钥系统。另请参见私有密钥加密。

QOP

(保护质量) 一种参数，用于选择与完整性或隐私服务一起使用的加密算法。

区域

由单独一个 SEAM 数据库和一套密钥分配中心 (KDC) 提供服务的逻辑网络。
一个授权对象名称的第三个部分。对于授权对象名称 joe/admin@ENG.ACME.COM，其区域是 ENG.ACME.COM。另请参见授权对象名称。

关系

kdc.conf 或 krb5.conf 文件中所定义的一个配置变量或关系。

可续延票券

因为拥有带有很长期限的票券是一个安全隐患，票券可以被指定为 可续延。可续延票券拥有两个到期时间: 票券的当前实例到期的时间，以及任意票券的最长期限。如果一个客户机想要继续使用一个票券，则要在第一次到期发生之前对其进行续延。例如，一个票券的有效期可以是一小时，而所有票券拥有一个最长为十小时的期限。如果持有票券的客户机想要将其保留，持续一个小时以上，则其必须进行续延。当一个票券到达最长票券期限时间时，其自动到期且无法加以续延。

SEAM

(Sun 企业鉴别机制) 用于跨越网络鉴别用户的系统，基于麻省理工学院所开发的 Kerberos V5 技术。

"SEAM" 和 " Kerberos" 在 SEAM 文档中经常是可以互相换用的。

秘密钥匙

请参见私有密钥。

安全风格

请参见风格。

安全机制

请参见机制。

安全服务

请参见服务。

服务器

向网络客户机提供资源的具体的授权对象。例如，如果您 rlogin 到机器 boston.eng.acme.com，则该机器就是提供 rlogin 服务的服务器。另请参见服务授权对象。

服务器授权对象

(RPCSEC_GSS API) 提供某项服务的授权对象。其存储为一个服务@主机形式的 ASCII 字符串。另请参见客户机授权对象。

服务

一种提供给网络客户机的资源; 经常是由一个以上的服务器提供的。例如，如果您 rlogin 到机器 boston.eng.acme.com，则该机器就是提供 rlogin 服务的服务器。
一种安全服务 - 或是完整性或是隐私，提供鉴别以外一个级别的保护。另请参见完整性和隐私。

服务密钥

加密密钥，由某项服务授权对象和 KDC 共享，且散发到系统界外。另请参见密钥。

服务授权对象

授权对象，其为某项服务或多项服务提供 Kerberos 鉴别。对于服务授权对象，主干名称是一项服务的名称，诸如 ftp, 而其实例是系统的完全合格的主机名。另请参见主机 授权对象、用户授权对象。

对话密钥

一种密钥，由鉴别服务或票券授予服务生成。生成对话密钥，是为了在一个客户机和某项服务之间提供安全事务。其期限限于单独一个登录对话。另请参见密钥。

从 KDC从

一个主 KDC 的一个副本，能够进行主 KDC 的大多数功能。每个区域通常拥有多个从 KDC (而只能拥有一个主 KDC)。另请参见KDC、主 KDC。

贮藏文件

贮藏文件包含 KDC 的主密钥的一个经过加密的副本。该密钥在服务器重新启动时得到应用，以在启动 kadmind 和 krb5kdc 步骤之前自动鉴别 KDC。因为该文件包括主密钥，该文件以及该文件的任何备份均应当予以安全保管。如果加密遭到折衷，则该密钥可以用于访问或修改 KDC 数据库。

票券

一种信息包，用于安全地将用户的身份传递到一个服务器或服务。一个票券只在一个具体服务器上对单独一个客户机和一个具体服务有效。它包含服务的授权对象名称，用户的授权对象名称，用户主机的 IP 地址，一个时戳，以及一个用来定义票券期限的值。票券是借助一个随机对话密钥加以创建的，为客户机和服务所使用。一旦一个票券得到创建，其就可以得到重新利用，直到该票券到期。票券只在与一个新鲜的鉴别符一同提供时才用于鉴别客户机。另请参见鉴别符、资格、服务、对话密钥。

票券文件

请参见资格高速缓存。

TGS

(票券授予服务) KDC 的一部分，负责发放票券。

TGT

(具有票券授予权的票券) 一种由 KDC 发放的票券，使得客户机可以为其它的服务请求票券。

用户授权对象

专用于某个具体用户的授权对象，其主干名称是一个用户名，而其可选实例是一个用于描述相应资格的计划用途的名称 (例如，joe 或 joe/admin)。又称作用户实例。另请参见服务授权对象。