Debe conocer los términos de esta sección para comprender el proceso de autenticación. Los programadores y los administradores del sistema deben estar familiarizados con estos términos.
El cliente es el software que se ejecuta en la estación de trabajo del usuario. El software de Kerberos que se ejecuta en el cliente realiza muchas solicitudes durante este proceso. Por lo tanto, es importante establecer la diferencia entre las acciones de este software y el usuario.
Los términos server y service se suelen usar indistintamente. El término servidor se utiliza para definir el sistema físico en el que se ejecuta el software de Kerberos. El término servicio corresponde a una determinada función que se admite en un servidor (por ejemplo, ftp o nfs). Con frecuencia, la documentación define los servidores como una parte de un servicio, pero esta definición hace que el significado de los términos sea confuso. Por lo tanto, el término server se refiere al sistema físico. El término service se refiere al software.
El producto Kerberos usa dos tipos de claves. Un tipo de clave es una clave derivada de una contraseña, que se asigna a cada principal de usuario y es conocida sólo para el usuario y el KDC. El otro tipo de clave es una clave aleatoria que no está asociada con una contraseña y que, por lo tanto, no es adecuada para que la usen los principales de usuario. Por lo general, las claves aleatorias se usan para los principales de servicio que tienen entradas en un archivo keytab y cuyas claves de sesión son generadas por el KDC. Los principales de servicio pueden usar claves aleatorias, ya que el servicio puede acceder a la clave que se encuentra en el archivo keytab y entonces puede ejecutarse de manera no interactiva. Las claves de sesión son generadas por el KDC (y compartidas entre el cliente y el servicio) a fin de facilitar las transacciones seguras entre un cliente y un servicio.
Un ticket es un paquete de información que se utiliza para transferir la identidad de un usuario a un servidor o servicio de manera segura. Un ticket es válido únicamente para un solo cliente y un servicio determinado en un servidor específico. El ticket contiene:
Nombre de principal del servicio
Nombre de principal del usuario
Dirección IP del host del usuario
Registro de hora
Valor que define la duración del ticket
Copia de la clave de sesión
Todos estos datos se encuentran cifrados en la clave de servicio del servidor. El KDC emite el ticket integrado en una credencial. Una vez que se emitió un ticket, éste puede volver a usarse hasta que caduque.
La credencial es un paquete de información que incluye un ticket y una clave de sesión coincidente. La credencial está cifrada con la clave del principal solicitante. Generalmente, el KDC genera una credencial en respuesta a una solicitud de ticket de un cliente.
El autenticador es la información que el servidor utiliza para autenticar el principal del usuario cliente. El autenticador incluye el nombre de principal del usuario, la indicación de hora y otros datos. A diferencia de un ticket, un autenticador se utiliza sólo una vez, generalmente, cuando se solicita acceso a un servicio. El autenticador se cifra mediante la clave de sesión compartida por el cliente y el servidor. Habitualmente, el cliente crea el autenticador y lo envía con el ticket de un servidor o de un servicio para que se autentique en el servidor o el servicio.