Kerberos サービス内のクライアントは、その「主体」で識別されます。主体は、KDC がチケットを割り当てることができる一意の ID です。主体には、jdoe などのユーザーや、nfs などのサービスがあります。
慣例上、主体名はプライマリ、インスタンス、レルムの 3 つのコンポーネントに分割されます。標準的な Kerberos 主体は、たとえば jdoe/admin@CORP.EXAMPLE.COM のようになります。この例では、次のようになります。
jdoe はプライマリです。プライマリには、この例のようなユーザー名や nfs などのサービスを指定します。また、プライマリが host という単語である場合もあります。これは、この主体が ftp、scp、ssh などのさまざまなネットワークサービスを提供するように設定されているサービス主体であることを示します。
admin はインスタンスです。インスタンスは、ユーザー主体の場合はオプションですが、サービス主体では必須です。たとえば、ユーザー jdoe がシステム管理者の役割を果たす場合もあるときは、主体 jdoe/admin によってユーザーと管理者を区別できます。同様に、jdoe が 2 つの異なるホスト上にアカウントを持っている場合、これらのアカウントでは、インスタンスが異なる 2 つの主体名 (jdoe/denver.example.com と jdoe/boston.example.com など) を使用できます。Kerberos サービスでは jdoe と jdoe/admin が 2 つの完全に異なる主体として処理されることに注意してください。
サービス主体の場合、インスタンスは完全修飾ホスト名です。bigmachine.corp.example.com は、このようなインスタンスの例です。この例のプライマリとインスタンスは、ftp/bigmachine.corp.example.com や host/bigmachine.corp.example.com のようになります。
CORP.EXAMPLE.COM は Kerberos レルムです。レルムについては、Kerberos レルムを参照してください。
次に有効な主体名を示します。
jdoe
jdoe/admin
jdoe/admin@CORP.EXAMPLE.COM
nfs/host.corp.example.com@CORP.EXAMPLE.COM
host/corp.example.com@CORP.EXAMPLE.COM