このセクションでは、Kerberos 認証システムの概要について説明します。詳細は、Kerberos 資格によってサービスへのアクセスが提供されるしくみを参照してください。
Kerberos セッションが起動されたあとは、ユーザーから見ると Kerberos サービスが意識されることはほとんどありません。ssh や ftp などのコマンドは、ほぼ同様に動作します。Kerberos セッションの初期化には通常、ログインと Kerberos パスワードの入力しか必要ありません。
Kerberos システムは、チケットの概念を中心に動作します。チケットは、ユーザー、および NFS サービスなどのサービスを特定する一連の電子情報です。運転免許証が運転する人と免許の種類を表すのと同じように、チケットもユーザーとユーザーのネットワークアクセス権を表します。Kerberos に基づくトランザクションを実行すると (NFS マウントしたファイルをリクエストする場合など)、チケットに対するリクエストが鍵配布センター (KDC) に透過的に送信されます。KDC は、データベースにアクセスしてユーザーの識別情報を認証し、NFS サーバーにアクセスするためのアクセス権を許可するチケットを返します。「透過的に」とは、チケットを明示的にリクエストする必要がないことを示します。このリクエストは、サーバーにアクセスしようとしたときに発生します。特定のサービスのチケットを取得できるのは認証されたクライアントだけであるため、別のクライアントが、引き継がれた識別情報で NFS サーバーにアクセスすることはできません。
チケットには、特定の属性が関連付けられています。たとえば、チケットには、新しい認証処理を行わなくても別のマシンで使用できる「転送可能」の属性があります。また、指定の日付まで有効にならない「遅延」の属性もあります。チケットをどのように使用できるかは、ポリシーによって設定されます (どのユーザーが、どのタイプのチケットの取得を許可されるかを指定する場合など)。ポリシーは、Kerberos サービスのインストールや管理の際に決定します。
次のセクションでは、Kerberos 認証プロセスについて詳細に説明します。