Vous devez connaître les termes de cette section pour comprendre le processus d'authentification. Les programmeurs et les administrateurs système doivent être familiarisés avec ces termes.
Un client est un logiciel qui s'exécute sur le poste de travail d'un utilisateur. Le logiciel Kerberos qui s'exécute sur le client effectue de nombreuses demandes au cours de ce processus. Par conséquent, il est important de différencier les actions de ce logiciel de celles de l'utilisateur.
Les termes server et service sont souvent interchangeables. Pour clarifier, le terme server est utilisé pour définir le système physique sur lequel le logiciel Kerberos est exécuté. Le terme service correspond à une fonction particulière prise en charge sur un serveur (par exemple, ftp ou nfs). Dans la plupart des cas, la documentation mentionne les serveurs dans le cadre d'un service, mais cette définition obscurcit la signification des termes. Par conséquent, le terme server fait référence au système physique. Le terme service fait référence au logiciel.
Le produit Kerberos utilise deux types de clés. Un type de clé est la clé est dérivée d'un mot, qui est attribué à chaque principal de l'utilisateur et est uniquement connue du KDC et à l'utilisateur. L'autre type de clé est une clé aléatoire qui n'est pas associée à un mot de passe et donc n'est pas adaptée à l'utilisation par les principaux d'utilisateur. Les clés aléatoires sont généralement utilisées pour les principaux de service qui ont des entrées dans un fichier keytab et dont les clés de session sont générées par le KDC. Les principaux de service peuvent utiliser des clés aléatoires étant donné que le service peut accéder à la clé dans le fichier keytab qui lui permet de fonctionner de manière non interactive. Les clés de session sont générées par le KDC (et partagées entre le client et le service) pour assurer la sécurité des transactions entre un client et un service.
Un ticket est un paquet d'informations servant à transmettre en toute sécurité l'identité d'un utilisateur à un serveur ou un service. Un ticket n'est valable que pour un client et un service particulier sur un serveur spécifique. Un ticket contient les informations suivantes :
Nom du principal du service
Nom du principal de l'utilisateur
Adresse IP de l'hôte de l'utilisateur
Timestamp
Valeur définissant la durée de vie du ticket.
Copie de la clé de session
Toutes ces données sont chiffrées dans la clé de service du serveur. Le KDC émet le ticket intégré dans les informations d'identification. Une fois le ticket émis, il peut être réutilisé jusqu'à son expiration.
Les informations d'identification sont un paquet d'informations comprenant un ticket ainsi que la clé de session correspondante. Les informations d'identification sont chiffrées avec la clé du principal effectuant la demande. En règle générale, le KDC génère des informations d'identification en réponse à une demande de ticket d'un client.
Un authentificateur correspond à des informations que le serveur utilise pour authentifier le principal de l'utilisateur du client. Un authentificateur inclut le nom du principal de l'utilisateur, un horodatage et d'autres données. A la différence d'un ticket, un authentificateur ne sert qu'une seule fois, généralement lorsque l'accès à un service est demandé. Un authentificateur est chiffré à l'aide de la clé de session partagée par le client et le serveur. En général, le client crée l'authentificateur et l'envoie à l'aide du ticket du serveur ou du service pour s'authentifier auprès du serveur ou du service.