Kerberos 服务中的客户机由其主体标识。主体是 KDC 可以为其分配票证的唯一标识。主体可以是用户(如 jdoe)或服务(如 nfs)。
根据约定,主体名称分为三个部分:主名称、实例和领域。例如,jdoe/admin@CORP.EXAMPLE.COM 是一个典型的 Kerberos 主体。在本示例中:
jdoe 是主名称。主名称可以是用户名(如此处所示)或服务(如 nfs)。主名称还可以是单词 host,这表示此主体是设置用于提供各种网络服务(如 ftp、scp 和 ssh 等)的服务主体。
admin 是实例。对于用户主体,实例是可选的;但对于服务主体,实例则是必需的。例如,如果用户 jdoe 有时充当系统管理员,则主体 jdoe/admin 可将管理员与其用户身份区分开来。同样,如果 jdoe 在两台不同的主机上拥有帐户,这些帐户可以使用具有不同实例的两个主体名称,例如 jdoe/denver.example.com 和 jdoe/boston.example.com。请注意,Kerberos 服务会将 jdoe 和 jdoe/admin 视为两个完全不同的主体。
对于服务主体,实例是全限定主机名。例如,bigmachine.corp.example.com 就是这种实例。此示例的主名称/实例可以为 ftp/bigmachine.corp.example.com 或 host/bigmachine.corp.example.com。
CORP.EXAMPLE.COM 是 Kerberos 领域。领域将在Kerberos 领域中介绍。
以下都是有效的主体名称:
jdoe
jdoe/admin
jdoe/admin@CORP.EXAMPLE.COM
nfs/host.corp.example.com@CORP.EXAMPLE.COM
host/corp.example.com@CORP.EXAMPLE.COM