認証処理を理解するには、このセクションで説明する用語を理解する必要があります。プログラマやシステム管理者はこれらの用語に精通している必要があります。
クライアントとは、ユーザーのワークステーション上で動作するソフトウェアのことです。クライアントで動作する Kerberos ソフトウェアは、処理中に多数の要求を作成します。そのため、このソフトウェアとユーザーの動作を区別することが重要です。
サーバーとサービスという用語は多くの場合、同じ意味で使用されます。明確にするために、サーバーという用語は、Kerberos ソフトウェアが実行されている物理システムを定義するために使用されます。サービスという用語は、サーバー上でサポートされている特定の機能 (ftp や nfs など) に対応します。サーバーがサービスの一部として記述されることがよくありますが、これはこれらの用語の定義をあいまいにします。そのため、サーバーという用語は、物理システムを指します。サービスという用語は、ソフトウェアを指します。
Kerberos 製品では、2 種類の鍵が使用されます。鍵の 1 つの種類は、パスワードから派生する鍵です。これは、各ユーザー主体に与えられ、そのユーザーと KDC だけが認識しています。鍵のもう 1 つの種類はランダム鍵です。これは、パスワードに関連付けられていないため、ユーザー主体が使用するのには適していません。ランダム鍵は通常、keytab 内にエントリがあり、セッション鍵が KDC によって生成されたサービス主体に使用されます。サービスは非対話形式での実行を許可するキータブファイル内の鍵にアクセスできるため、サービス主体はランダム鍵を使用できます。セッション鍵は、クライアントとサービス間のトランザクションを保護するために KDC によって生成され、クライアントとサービス間で共有されます。
チケットとは、ユーザーの識別情報をサーバーまたはサービスにセキュアに渡すために使用される情報パケットのことです。チケットは、単一クライアントと特定サーバー上の特定サービスだけに有効です。チケットには、次のものが含まれています。
サービスの主体名
ユーザーの主体名
ユーザーのホストの IP アドレス
タイムスタンプ
チケットの有効期限を定義する値
セッション鍵のコピー
これらのすべてのデータは、サーバーのサービス鍵に暗号化されます。KDC は、このチケットを資格に組み込んで発行します。チケットは、発行されてから有効期限まで再使用できます。
資格とは、チケットとそれに対応するセッション鍵を含む情報のパケットのことです。資格は要求する主体の鍵で暗号化されます。一般的に、KDC はクライアントからのチケット要求に応じて資格を生成します。
オーセンティケータとは、サーバーがクライアントのユーザー主体を認証するために使用する情報のことです。オーセンティケータは、ユーザーの主体名、タイムスタンプ、およびその他のデータを含みます。チケットとは異なり、オーセンティケータは (通常はサービスへのアクセスがリクエストされたときの) 1 回だけ使用されます。オーセンティケータは、クライアントとサーバーが共有するセッション鍵を使用して暗号化されます。通常、クライアントが、オーセンティケータを作成し、サーバーまたはサービスに対して認証するためにサーバーまたはサービスのチケットとともに送信します。