Im folgenden Glossar wird die Kerberos-Terminologie erläutert.
Benutzer oder Clients müssen bestimmte Berechtigungen vorweisen, die Sie autorisieren, Dienste anzufordern. Kerberos kennt zwei Arten von Berechtigungen: Tickets und Authentifikatoren.
Ein Ticket ist eine Berechtigung, die pro Server vergeben wird. Clients verwenden es, um sich bei einem Server zu authentifizieren, von dem sie einen Dienst anfordern möchten. Es enthält den Namen des Servers, des Clients, die Internetadresse des Clients, einen Zeitstempel, eine Lebensdauer und einen zufälligen Sitzungsschlüssel. Alle diese Daten sind über den Serverschlüssel verschlüsselt.
Gemeinsam mit dem Ticket stellt ein Authentifikator sicher, dass der das Ticket vorlegende Client tatsächlich der vorgegebene Client ist. Ein Authentifikator besteht aus dem Client-Namen, der IP-Adresse der Arbeitsstation und der aktuellen Zeit der Arbeitsstation. Alle sind verschlüsselt mit dem Sitzungsschlüssel, der nur dem Client und dem Server bekannt ist, von dem der Dienst angefordert wurde. Ein Authentifikator kann, anders als ein Ticket, nur einmal verwendet werden. Ein Client kann einen Authentifikator selbst generieren.
Ein Kerberos Prinzipal ist eine eindeutige Einheit (ein Benutzer oder ein Dienst), dem ein Ticket zugewiesen werden kann. Ein Prinzipal besteht aus folgenden Komponenten:
Primär: Der erste Teil des Prinzipals. Im Falle eines Benutzer kann dies der Benutzernamen sein,
Instanz: Zusätzliche Informationen zur genaueren Bestimmung des Primärs. Dieser String wird vom Primär durch einen / getrennt.
Bereich: Gibt den Kerberos-Bereich an. Normalerweise ist der Bereich der Domänenname in Großbuchstaben.
Kerberos stellt sicher, dass Client und Server sich ihrer gegenseitigen Identität sicher sein können. Sie teilen sich einen Sitzungsschlüssel, über den sie sicher kommunizieren können.
Sitzungsschlüssel sind temporäre private Schlüssel, die von Kerberos erstellt werden. Sie sind dem Client bekannt und werden zur Verschlüsselung der Kommunikation zwischen dem Client und dem Server, der angefordert und für den ein Ticket erhalten wurde, verwendet.
Fast alle in einem Netzwerk versendeten Nachrichten können belauscht, gestohlen und erneut versendet werden. Bei Kerberos wäre es sehr gefährlich, wenn ein Angreifer auf Ihre Dienstanforderung zugreifen könnte, die Ihr Ticket und Ihren Authentifikator enthält. Er könnte sie dann erneut senden (Replay) und Ihre Identität übernehmen. Kerberos verwendet jedoch mehrere Mechanismen, um dieses Problem zu umgehen.
Dienst ist eine bestimmte durchzuführende Aktion. Der dieser Aktion zugrunde liegende Prozess ist ein Server.