下列詞彙定義部分 Kerberos 術語。
使用者或用戶端需要出示一些授權他們要求服務的證件。Kerberos 可辨識兩種證件—票證與授權者。
票證是每一台伺服器的證件,用戶端會在向其要求服務的伺服器上使用以供驗證。它包含伺服器名稱、用戶端的名稱、用戶端的網際網路位址、時間戳記、存在時間以及隨機的工作階段金鑰。所有這類資料都會使用伺服器金鑰來加密。
授權者是結合票證,用來證明持有票證的用戶端,的確是其所宣稱的身份。授權者是由用戶端的名稱、工作站的 IP 位址與目前工作站的時間,全都以工作階段金鑰加密而建立的,該金鑰只有用戶端與向其要求服務的伺服器知道。不像票證,授權者只能使用一次。用戶端可以自行建立授權者。
Kerberos 原則是可指定給票證的唯一實體 (使用者或服務)。原則是由下列元件所組成:
主要—原則的第一部分,就使用者而言,此部分可以與使用者名稱相同。
例項—一些可描述「主要」部分的選擇性資訊。此字串會以 / 來與「主要」部分分隔。
領域—指定您的 Kerberos 領域。領域 (Realm) 通常就是以大寫字母書寫的網域 (domain) 名稱。
Kerberos 可確保用戶端與伺服器雙方都能確定彼此的識別身份。它們會共用工作階段金鑰,來與彼此安全通訊。
工作階段金鑰是由 Kerberos 產生的暫時私密金鑰。用戶端會知道這些金鑰,而且用來加密用戶端與伺服器間的通訊,以供要求與接收票證。
在網路中傳送的所有訊息幾乎會被偷聽、竊取和重送。如果攻擊者設法取得包含您票證與授權者的服務要求,在 Kerberos 內容中,這是最危險的情況。攻擊者之後可以重送該要求 (「重播」) 假扮成您的身份。不過,Kerberos 會執行數種機制來處理該問題。
「服務」是用來稱呼所執行的特定動作。此動作背後的程序則稱為「伺服器」。