Un client dans le service Kerberos est identifié par son principal. Un principal est une identité unique à laquelle le KDC peut affecter les tickets. Un principal peut être un utilisateur, tel que joe, ou un service, tel que nfs.
Par convention, un nom de principal est divisé en trois composants : le primaire, l'instance et le domaine. Un principal Kerberos type peut être, par exemple, jdoe/admin@CORP.EXAMPLE.COM. Dans cet exemple :
jdoe est le principal. Le primaire peut être un nom d'utilisateur, comme ici, ou un service, comme nfs. Le primaire peut également être le mot host, ce qui signifie que ce principal est un principal de service qui est configuré pour fournir divers services réseau, ftp, scp, ssh, etc.
admin est l'instance. Une instance est facultative dans le cas de principaux d'utilisateur, mais est nécessaire pour les principaux de service. Par exemple, si l'utilisateur jdoe agit parfois en tant qu'administrateur système, le principal jdoe/admin est capable de distinguer l'identité de l'administrateur de celle de l'utilisateur. De même, si joe a des comptes sur deux hôtes différents, les comptes peuvent utiliser deux noms de principal avec différentes instances, par exemple, jdoe/denver.example.com et jdoe/boston.example.com. Notez que le service Kerberos traite jdoe et jdoe/admin comme deux principaux totalement différents.
Dans le cas d'un principal de service, l'instance est le nom d'hôte complet. bigmachine.corp.example.com est un exemple d'une telle instance. Le principal ou l'instance pour cet exemple pourrait être ftp/bigmachine.corp.example.com ou host/bigmachine.corp.example.com.
CORP.EXAMPLE.COM est le domaine Kerberos. Les domaines sont abordés dans Domaines Kerberos.
Les éléments suivants sont tous les noms de principaux valides :
jdoe
jdoe/admin
jdoe/admin@CORP.EXAMPLE.COM
nfs/host.corp.example.com@CORP.EXAMPLE.COM
host/corp.example.com@CORP.EXAMPLE.COM