Un cliente en el servicio Kerberos se identifica con su principal. Un principal es una identidad única a la que el KDC puede asignar tickets. Un principal puede ser un usuario, como jdoe, o un servicio, como nfs.
Por convención, el nombre de principal consta de tres componentes: el nombre primario, la instancia y el dominio. Un principal de Kerberos típico sería, por ejemplo, jdoe/admin@CORP.EXAMPLE.COM. En este ejemplo:
jdoe es el nombre primario. El nombre primario puede ser un nombre de usuario, como se muestra aquí, o un servicio, como nfs. El nombre primario también puede ser la palabra host, lo cual significa que el principal es un principal de servicio que está configurado para proporcionar distintos servicios de red, ftp, scp, ssh, etc.
admin es la instancia. La instancia es opcional en el caso de los principales de usuario, pero es necesaria para los principales de servicio. Por ejemplo, si el usuario jdoe a veces actúa como administrador del sistema, el principal jdoe/admin puede distinguir entre el administrador de la identidad de usuario. Del mismo modo, si jdoe tiene cuentas en dos hosts diferentes, las cuentas pueden utilizar dos nombres de principal con instancias diferentes, por ejemplo, jdoe/denver.example.com y jdoe/boston.example.com. Tenga en cuenta que el servicio Kerberos trata jdoe y jdoe/admin como dos principales completamente diferentes.
En el caso de un principal de servicio, la instancia es el nombre de host completo. Un ejemplo de una instancia así es bigmachine.corp.example.com. La combinación nombre primario/instancia para este ejemplo podría ser ftp/bigmachine.corp.example.com o host/bigmachine.corp.example.com.
CORP.EXAMPLE.COM es el dominio Kerberos. En Dominios Kerberos, se analizan los dominios.
Todos los nombres de principal que aparecen a continuación son válidos:
jdoe
jdoe/admin
jdoe/admin@CORP.EXAMPLE.COM
nfs/host.corp.example.com@CORP.EXAMPLE.COM
host/corp.example.com@CORP.EXAMPLE.COM