test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Glossar

Admin-Hauptbenutzer

Ein Benutzer-Hauptbenutzer mit einem Namen der Form Benutzername/admin (wie in josef/admin). Ein Admin-Hauptbenutzer kann über mehr Berechtigungen verfügen (z. B. zum Ändern von Richtlinien) als ein normaler Benutzer-Hauptbenutzer. Siehe auch Hauptbenutzername, Benutzer-Hauptbenutzer.

Anwendungsserver

Siehe Netzwerk-Anwendungsserver.

Authentisierer

Authentisierer werden von Clients bei der Anforderung von Tickets (von einem KDC) und von Services (von einem Server) übergeben. Sie enthalten mit einem Sitzungsschlüssel generierte Informationen, der nur dem Client und dem Server bekannt ist. Die kürzliche Erstellung des Schlüssels ist ersichtlich und weist darauf hin, dass die Transaktion sicher ist. Ein Authentisierer kann zusammen mit einem Ticket zur Authentisierung eines Benutzer-Hauptbenutzers verwendet werden. Ein Authentisierer umfasst den Hauptbenutzernamen des Benutzers, die IP-Adresse vom Host des Benutzers und einen Zeitstempel. Im Gegensatz zum Ticket kann ein Authentisierer nur einmal verwendet werden, was normalerweise bei der Anforderung des Zugriffs auf einen Service erfolgt. Ein Authentisierer wird mit dem Sitzungsschlüssel für diesen Client und diesen Server verschlüsselt.

Authentisierung

Der Vorgang, bei dem die vorgegebene Identität eines Hauptbenutzers überprüft wird.

Autorisierung

Der Vorgang, bei dem festgelegt wird, ob ein Hauptbenutzers einen Service verwenden kann, auf welche Objekte der Hauptbenutzer zugreifen kann und welche Zugriffsart für die einzelnen Objekte gilt.

Benutzer-Hauptbenutzer

Ein Hauptbenutzer, dem ein bestimmter Benutzer zugeordnet wurde. Dabei ist der Primärname ein Benutzername und die optionale Instanz ist ein Name, mit dem die beabsichtigte Verwendung der dazugehörigen Berechtigungsnachweise beschrieben wird (z. B. josef oder josef/admin). Wird auch als Benutzer-Instanz bezeichnet. Siehe auch Service-Hauptbenutzer.

Berechtigungsnachweis

Ein Informationspaket, das ein Ticket und einen passenden Sitzungsschlüssel enthält. Wird verwendet, um die Identität eines Hauptbenutzers zu überprüfen. Siehe auch Ticket, Sitzungsschlüssel.

Berechtigungsnachweis-Cache

Ein Speicherplatz (in der Regel eine Datei), die von KDC entgegengenommene Berechtigungsnachweise enthält.

Bereich

  1. Das logische Netzwerk, das über eine SEAM-Datenbank und einer Gruppe von KDCs (Key Distribution Centers) gesteuert wird.

  2. Der dritte Teil eines Hauptbenutzernamens. Im Hauptbenutzernamen josef/admin@ENG.ACME.COM ist ENG.ACME.COM der Bereich. Siehe auch Hauptbenutzername.

Beziehung

Eine Konfigurationsvariable oder Beziehung, die in der Datei kdc.conf oder krb5.conf definiert ist.

Client

  • Ein Vorgang, bei dem ein Netzwerkservice für einen Benutzer eingesetzt wird. Beispiel: Eine Anwendung, die rlogin einsetzt. In einigen Fällen kann ein Server selbst auch als Client eines anderen Servers oder Services fungieren.

  • Allgemeiner gesagt, handelt es sich um einen Host, der a) einen Kerberos-Berechtigungsnachweis erhält und b) einen Service verwendet, der von einem Server bereitgestellt wird.

Oder ganz einfach, ein Hauptbenutzer, der einen Service benutzt.

Erneuerbares Ticket

Tickets mit einer langen Gültigkeitsdauer bilden ein Sicherheitsrisiko. Deshalb können Tickets als erneuerbar gekennzeichnet werden. Ein erneuerbares Ticket besitzt zwei Ablaufzeiten: Die Zeit, zu der die aktuelle Ausgabe des Tickets abläuft und die maximale Lebensdauer aller Tickets. Wenn ein Client ein Ticket weiterverwenden möchte, erneuert er es vor Verstreichen der ersten Ablauffrist. Ein Ticket kann z. B. für eine Stunde gültig sein, während alle Tickets eine maximale Lebensdauer von zehn Stunden besitzen. Wenn der Client sein Ticket länger als eine Stunde verwenden möchte, muss er es erneuern. Wenn ein Ticket die maximal zulässige Lebensdauer für Tickets erreicht hat, läuft es automatisch ab und kann nicht erneuert werden.

FQDN

Voll qualifizierter Domain-Name (Fully Qualified Domain Name). Beispiel: stuttgart.mtn.acme.com (im Gegensatz zu nur stuttgart).

Geheimer Schlüssel

(Siehe Privater Schlüssel.)

GSS-API

Die Anwendungsprogramm-Schnittstelle Generic Security Service (GSS). Eine Netzwerkebene, die verschiedene modulare Sicherheits-Services (einschließlich SEAM) unterstützt. Die GSS-API stellt die Sicherheitsauthentisierung sowie die Services für Integrität und Vertraulichkeit bereit. Siehe auch Authentisierung und Integrität. Vertraulichkeit.

Hauptbenutzer

  1. Eine eindeutig benannte Client/Benutzer- oder Server/Service-Instanz, die Teil einer Netzwerkkommunikation ist. Kerberos-Transaktionen umfassen Interaktionen zwischen Hauptbenutzern (Service-Hauptbenutzer und Benutzer-Hauptbenutzer) oder zwischen Hauptbenutzern und KDCs. Anders ausgedrückt stellt ein Hauptbenutzer eine eindeutige Einheit dar, der das KDC Tickets zuweisen kann. Siehe auch Hauptbenutzername und Service-Hauptbenutzer. Benutzer-Hauptbenutzer.

  2. (RPCSEC_GSS API) Siehe Hauptbenutzer des Clients, Server-Hauptbenutzer.

Hauptbenutzername

  1. Der Name eines Hauptbenutzers mit dem Format primaer/instanz@BEREICH. Siehe auch Instanz, Primär und Bereich.

  2. (RPCSEC_GSS API) Siehe Hauptbenutzer des Clients, Server-Hauptbenutzer.

Hauptbenutzer des Clients

(RPCSEC_GSS API) Ein Client (ein Benutzer oder eine Anwendung), der mit RPCSEC_GSS abgesichterte Netzwerk-Services verwendet. Namen von Client-Hauptbenutzern werden in Form von rpc_gss_principal_t-Strukturen abgespeichert.

Host

Ein Computer, auf den über ein Netzwerk zugegriffen werden kann.

Host-Hauptbenutzer

Eine bestimmte Instanz eines Service-Hauptbenutzers, bei der der Hauptbenutzer (der durch den primären Namen Host gekennzeichnet ist) so festgelegt ist, dass eine Reihe von Netzwerk-Services zur Verfügung gestellt werden, wie z. B. ftp, rcp oder rlogin. host/hamburg.eng.acme.com@ENG.ACME.COM ist ein Beispiel für einen Host-Hauptbenutzer. Siehe auch Server-Hauptbenutzer.

Initialticket

Ein Ticket, das direkt ausgegeben wird (also nicht auf der Basis eines vorhandenen Ticket-granting (gewährenden) Tickets). Für einige Dienste, wie z. B. Anwendungen, die Passwörter ändern, kann es erforderlich sein, dass Tickets entsprechend markiert werden. Initial Damit wird sichergestellt, dass der Client den geheimen Schlüssel kennt. Über ein Intialticket wird angezeigt, dass sich der Client erst vor kurzem neu authentisiert hat (und sich nicht auf ein Ticket-granting Ticket verläßt, das möglicherweise schon länger vorhanden ist).

Instanz

Der zweite Teil des Hauptbenutzernamens. Über die Instanz wird der primäre Name des Hauptbenutzers angegeben. Bei einem Service-Hauptbenutzer ist die Instanz unbedingt erforderlich. In diesem Fall ist sie der vollqualifizierte Domänenname des Hosts, wie z. B. in host/hamburg.eng.acme.com. Bei einem Benutzer-Hauptbenutzer ist die Instanz eine optionale Angabe. Beachten Sie jedoch, dass josef und josef/admin jeweils eindeutige Hauptbenutzer bezeichnen. Siehe auch Hauptbenutzername, Service-Hauptbenutzer und Benutzer-Hauptbenutzer.

Integrität

Ein Sicherheits-Service, der, zusätzlich zur Benutzerauthentisierung, die Gültigkeit übertragener Daten sicherstellt, indem kryptografische Prüfsummen angewendet werden. Siehe auch Authentisierung und Vertraulichkeit.

KDC

(KDC, Key Distribution Center) Ein Computer, der über die folgenden drei Kerberos V5-Komponenten verfügt:

  • Hauptbenutzer- und Schlüsseldatenbank

  • Authentisierungs-Service

  • Service zur Gewährung von Tickets

Jeder Bereich verfügt über ein Master-KDC und sollte über ein oder mehrere Slave-KDCs verfügen.

Kerberos

Ein Authentifizierungs-Service bzw. das Protokoll, das diesen Service verwendet, oder aber der Code, der verwendet wird, um diesen Service zu implementieren.

Die Authenisierungsanwendung SEAM basiert zum großen Teil auf Kerberos V5.

Obwohl ein technischer Unterschied besteht, haben die Begriffe "SEAM" und "Kerberos" häufig in der SEAM-Dokumentation mehr oder weniger gleiche Bedeutung, das gilt auch für "Kerberos" und "Kerberos V5."

Kerberos (manchmal auch Zerberus oder Cerberus geschrieben) war in der griechischen Mythologie ein wilder, dreiköpfiger Wachhund, der die Pforten der Unterwelt bewachte.

kvno

Schlüssel-Versionsnummer: Eine Nummer, über die ein bestimmter Schlüssel in der Reihenfolge der Erzeugung verwaltet wird. Der höchste Wert für "kvno" ist gleichzeitig der aktuelle und neueste Schlüssel.

Master-KDC

Der Haupt-KDC für den jeweiligen Bereich. Dazu gehören ein Kerberos-Verwaltungsserver, kadmind und der Dämon krb5kdc zur Authentisierung und Gewährung von Tickets. Jeder Bereich muss über mindestens einen Master-KDC verfügen. Er kann mehrere duplizierte oder Slave-KDCs haben, die Authentisierungs-Services für Clients bereitstellen.

Mechanismus

Ein Software-Paket, das kryptographische Techniken festlegt, die die Authentisierung von Daten oder die Vertraulichkeit ermöglichen. Beispiele: Kerberos V5, öffentlicher Schlüssel von Diffie-Hellman.

Nachdatiertes Ticket

Ein nachdatiertes Ticket ist ein Ticket, das erst zu einem angegebenen Zeitpunkt nach seiner Erstellung gültig wird. Diese Tickets sind beispielsweise für Stapelaufträge nützlich, die in der Nacht ausgeführt werden, da das Ticket nicht vor der Ausführung des Stapelauftrags verwendet werden kann, falls es gestohlen wird. Wird ein nachdatiertes Ticket ausgegeben, wird es als ungültig ausgegeben und bleibt ungültig, bis a) seine Startzeit erreicht wurde, und b) der Client die Überprüfung beim KDC anfordert. Ein nachdatiertes Ticket ist in der Regel bis zum Ablauf der Lebensdauer des Ticket-granting Tickets gültig. Ist es jedoch als erneuerbar gekennzeichnet, dann entspricht seine Lebensdauer in der Regel der vollen Lebensdauer des Ticket-granting Tickets. Siehe auch Ungültiges Ticket und Erneuerbares Ticket.

Netzwerk-Anwendungsserver

Ein Server, der eine Netzwerkanwendung, wie z. B. ftp zur Verfügung stellt. Ein Bereich kann mehrere Netzkwerk-Anwendungsserver umfassen.

NTP

(NTP, Network Time Protocol) Software der Universität von Delaware, die Ihnen die präzise Zeit- bzw. Netzwerkuhr-Synchronisierung in einer Netzwerkumgebung ermöglicht. Mit NTP können Sie die Zeitabweichung in einer Kerberos-Umgebung verwalten.

PAM

(PAM, Pluggable Authentication Module) Ein Rahmen, der die Verwendung mehrerer Authenisierungsmechanismen ermöglicht, ohne dass die eingesetzten Services neu kompiliert zu werden brauchen. PAM ermöglicht die Initialisierung einer SEAM-Sitzung bei der Anmeldung.

Primär

Der erste Teil eines Hauptbenutzernamens. Siehe auch Instanz und Hauptbenutzername Bereich.

Privater Schlüssel

Dieser Schlüssel wird jedem Benutzer-Hauptbenutzer übergeben und ist nur dem Benutzer-Hauptbenutzer sowie dem KDC bekannt. Bei Benutzer-Hauptbenutzern basiert der Schlüssel auf dem Passwort des Benutzers. Siehe auch Schlüssel.

QOP

(QOP, Quality of Protection) Ein Parameter, über den die Algorithmen für die Krypographie festgelegt werden, die für den Integritäts- oder Vertraulichkeits-Service eingesetzt werden.

Richtlinie

Eine Gruppe von Regeln, die bei der Installation oder Verwaltung von SEAM initialisiert oder verwaltet wird. Sie regeln die Verwendung von Tickets. Über Richtlinien können den Zugriff des Hauptbenutzers oder Ticket-Parameter, wie z. B. die Lebensdauer, gesteuert werden.

Schlüssel

  1. Ein Eintrag (Hauptbenutzername) in eine Schlüsseltabelle. Siehe dazu Schlüsseltabelle.

  2. Er kann auch zur Verschlüsselung dienen. Es gibt drei Typen:

    1. Ein privater Schlüssel. Dieser Schlüssel wird gemeinsam vom Hauptbenutzer und von KDC verwendet und über die Grenzen des Systems hinaus weitergegeben. Siehe auch Privater Schlüssel.

    2. Ein Service-Schlüssel. Dieser Schlüssel dient demselben Zweck wie der private Schlüssel, wird aber von Servern und Services verwendet. Siehe auch Service-Schlüssel.

    3. Ein Sitzungs-Schlüssel. Eine temporäre Verschlüsselung, die zwischen zwei Hauptbenutzern verwendet wird. Seine Lebensdauer ist auf die Dauer einer angemeldeten Sitzung beschränkt. Siehe auch Sitzungsschlüssel.

Schlüsseltabelle

Eine Schlüsseltabellendatei enthält einen oder mehrere Schlüssel (Hauptbenutzer). Ein Host oder ein Service verwendet eine Schlüsseltabellendatei mehr oder weniger so, wie ein Benutzer ein Passwort verwendet.

SEAM

(SEAM, Sun Enterprise Authentication Mechanism) Ein System zur Authentisierung von Benutzern in einem Netzwerk, das auf der Technologie von Kerberos V5 basiert, die vom Massachusetts Institute of Technology entwickelt wurde.

Die Begriffe "SEAM" und "Kerberos" werden in der SEAM-Dokumentation häufig synonym verwendet.

Server

Ein bestimmter Hauptbenutzer, der Netzwerk-Clients eine Ressource zur Verfügung stellt. Wenn Sie z. B. rlogin auf dem Computer hamburg.eng.acme.com ausführen, dann stellt dieser Computer den Service rlogin zur Verfügung. Siehe auch Service-Hauptbenutzer.

Server-Hauptbenutzer

(RPCSEC_GSS API) Ein Hauptbenutzer, der einen Service zur Verfügung stellt. Wird als ASCII-Zeichenfolge im Format service@host gespeichert. Siehe auch Hauptbenutzer des Clients.

Service

  1. Eine Ressource, die Netzwerk-Clients zur Verfügung stellt. Wird häufig von mehreren Servern gebildet. Wenn Sie z. B. rlogin auf dem Computer hamburg.eng.acme.com ausführen, dann stellt dieser Computer den Service rlogin zur Verfügung.

  2. Ein Sicherheits-Service dient entweder zur Gewährleistung der Integrität oder der Vertraulichkeit. Er bietet Schutz, der über die Authentisierung hinausgeht. Siehe auch Integrität und Vertraulichkeit.

Service-Hauptbenutzer

Ein Hauptbenutzer, der eine Kerberos-Authentisierung für einen oder mehrere Services ermöglicht. Bei Service-Hauptbenutzern ist der Primärname der Name eines Services, wie z. B. ftp.Die Instanz ist in diesem Fall der vollqualifizierte Hostname des Systems, das den Service bereitstellt. Siehe auch Host-Hauptbenutzer und Benutzer-Hauptbenutzer.

Service-Schlüssel

Dieser Schlüssel wird gemeinsam vom Service-Hauptbenutzer und dem KDC verwendet und wird auch über die Grenzen des Systems hinaus weitergegeben. Siehe auch Schlüssel.

Sicherheitsmechanismus

(Siehe Mechanismus.)

Sicherheits-Service

(Siehe Service.)

Sicherheitsvariante

(Siehe Variante.)

Sitzungsschlüssel

Ein Schlüssel, der vom Authentisierungs-Service oder Ticket-granting Service generiert wird. Ein Sitzungsschlüssel wird generiert, um sichere Transaktionen zwischen einem Client und einem Service bereitzustellen. Seine Lebensdauer ist auf eine Sitzung beschränkt. Siehe auch Schlüssel.

Slave-KDC

Eine Kopie eines Master-KDCs, das die meisten Funktionen des Masters ausführen kann. Jeder Bereich verfügt normalerweise über mehrere Slave-KDCs (aber nur ein Master-KDC). Siehe auch KDC und Master-KDC.

stash-Datei

Eine stash-Datei (auch Vorsorgedatei genannt) enthält eine verschlüsselte Kopie des Master-Schlüssels für das KDC. Dieser Schlüssel wird beim Neustart eines Servers verwendet, um das KDC automatisch vor der Ausführung von kadmind und krb5kdc zu authentisieren. Da diese Datei den Master-Schlüssel enthält, sollten die Datei sowie sämtliche Kopien gesichert aufbewahrt werden. Wenn die Verschlüsselung beeinträchtigt ist, kann der Schlüssel verwendet werden, um auf die KDC-Datenbank zuzugreifen oder sie zu verändern.

TGS

(TGS, Ticket-granting (gewährender) Service) Der Abschnitt des KDC, der für die Ausgabe von Tickets verantwortlich ist.

TGT

(TGT, Ticket-granting (gewährendes) Ticket) Ein Ticket, das vom KDC ausgegeben wird und das es einem Client ermöglicht, Tickets für andere Services anzufordern.

Ticket

Ein Informationspaket für die sichere Weitergabe der Identität eines Benutzers an einen Server oder einen Service. Ein Ticket ist nur für einen einzelnen Client und einen bestimmten Service auf einem bestimmten Server gültig. Es enthält den Hauptbenutzernamen des Services, den Hauptbenutzernamen des Benutzers, die IP-Adresse vom Host des Benutzers sowie einen Zeitstempel und einen Wert, um die Lebensdauer des Tickets zu definieren. Ein Ticket wird mit einem Zufallssitzungsschlüssel erstellt, der vom Client und vom Service verwendet wird. Nach der Erstellung eines Tickets kann dieses wiederverwendet werden, bis es abläuft. Ein Ticket dient nur dann zur Authentisierung eines Clients, wenn es zusammen mit einem aktuellen Authentisierer vorgelegt wird. Siehe auch Authentisierer, Berechtigungsnachweis, Service, Sitzungsschlüssel.

Ticket-Datei

(Siehe Berechtigungsnachweis-Cache.)

Ungültiges Ticket

Ein nachdatiertes Ticket, das noch nicht gültig ist. Es wird von einem Anwendungs-Server zurückgewiesen, bis es gültig ist. Das Ticket muss dem KDC von einem Client in einer TGS-Anforderung mit gesetzter Option VALIDATE vorgelegt werden, nachdem seine Startzeit erreicht wurde, um gültig zu werden. Siehe auch Nachdatiertes Ticket.

Variante

Historisch gesehen haben Sicherheitsvariante und Authentisierungsvariante die gleiche Bedeutung, da mit "Variante" ein Authentisierungstyp angegeben wurde (AUTH_UNIX, AUTH_DES, AUTH_KERB). RPCSEC_GSS ist auch eine Sicherheitsvariante, obwohl dabei zusätzlich zur Authentisierung Integritäts- und Vertraulichkeits-Services enthalten sind.

Verschlüsselung öffentlicher Schlüssel

Ein Verschlüsselungssystem, in dem jeder Benutzer über zwei Schlüssel verfügt; einen privaten und einen öffentlichen Schlüssel. Bei der öffentlichen Verschlüsselung verwendet der Absender den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger decodiert die Nachricht dann mit einem privaten Schlüssel. SEAM arbeitet mit privater Verschlüsselung. Siehe auch Verschlüsselung privater Schlüssel.

Verschlüsselung privater Schlüssel

Bei der Verschlüsselung privater Schlüssel verwenden Absender und Empfänger den gleichen Schlüssel für die Verschlüsselung. Siehe auch Verschlüsselung öffentlicher Schlüssel.

Vertraulichkeit

Ein Sicherheits-Service, bei dem die übertragenen Daten vor dem Versenden verschlüsselt werden. Die Vertraulichkeit umfasst auch die Datenintegrität und die Benutzerauthentisierung. Siehe auch Authentisierung, Integrität, Service.

Vertraulichkeit

(Siehe Vertraulichkeit.)

Vollmachten-Ticket

Ein Ticket, das im Auftrag eines Clients von einem Service verwendet werden kann, um eine Operation für den Client durchzuführen. (Damit fungiert der Service als Bevollmächtigter (Proxy) des Clients.) Mit dem Ticket kann der Service die Identität des Clients annehmen. Der Service kann diese Funktionalität nutzen, um ein Service-Ticket für einen weiteren Service zu erhalten. Er kann jedoch kein Ticket-granting Ticket anfordern. Der Unterschied zwischen einem Vollmachten-Ticket und einem weiterreichbaren Ticket besteht darin, dass das Vollmachten-Ticket nur für einen einzigen Vorgang gültig ist. Siehe auch Weiterreichbares Ticket.

Weiterreichbares Ticket

Ein Ticket kann von einem Client verwendet werden, der ein Ticket von einem Remote-Host anfordert. In diesem Fall braucht der Client auf diesem Host nicht den gesamten Authentisierungsprozess zu durchlaufen. Wenn z. B. der Benutzer david ein weiterreichbares Ticket erhält, während er sich auf dem System von jennifer befindet, kann er sich auf seinem eigenen System anmelden, ohne ein neues Ticket abrufen zu müssen (und sich somit erneut selbst authentisieren zu müssen). Siehe auch Vollmachten-Ticket.

Zeitabweichung

Die maximale Zeitabweichung, die für die internen Systemuhren aller Hosts, die Teil eines Kerberos-Authentisierungssystem sind, zulässig ist. Wenn die Zeitabweichung bei einem der teilnehmenden Hosts überschritten wird, dann werden Anforderungen zurückgewiesen. Die Zeitabweichung wird in der Datei krb5.conf angegeben.