Kerberos dispose de sa propre terminologie pour définir différents aspects du service. Avant d'évoquer la manière slon laquelle Kerberos fonctionne, il convient de se familiariser avec les termes suivants :
Un serveur émettant des tickets pour un service souhaité ces derniers sont à leur tour transmis aux utilisateurs pour l'accès au service. Le serveur d'authentification (ou AS de l'anglais Authentification Serveur) répond aux requêtes des clients qui ne disposent pas de certificats d'identité ou ne les ont pas envoyés avec leur demande. Il est généralement utilisé pour obtenir l'accès au service du Serveur d'Émission de Tickets (ou TGS de l'anglais Ticket-granting Server) qui est octroyé en créant un Ticket d'émission de Tickets (ou TGT de l'anglais Ticket-granting Ticket). L'AS tourne généralement sur le même hôte que le Centre de Distribution de Clés (ou KDC de l'anglais Key Distribution Center).
Des données cryptées.
Une entité sur le réseau (un utilisateur, un hôte ou une application) pouvant recevoir un ticket de Kerberos.
Un ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. Cet ensemble de certificats d'identité est aussi appelé un ticket ou credentials selon le mot anglais.
Un fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un cadre permettant d'utiliser d'autres types de caches tels qu'une mémoire partagée, mais les fichiers sont mieux pris en charge de cette façon.
Un hache unidirectionnel utilisé pour l'authentification des utilisateurs. Bien qu'étant plus sûr que le texte clair, un pirate expérimenté peut assez facilement le décoder.
L'API d'authentification Generic Security Service Application Program Interface (définie dans le document RFC-2743 publié par The Internet Engineering Task Force) représente un ensemble de fonctions qui fournissent des services de sécurité. L'API est utilisée par les clients et les services pour leur authentification réciproque sans qu'aucun des deux programmes ne reconnaissent vraiment le mécanisme sous-jacent. Si un service réseau (comme le serveur cyrus-IMAP) utilise GSS-API, il peut se servir de Kerberos pour ses besoins d'authentification.
Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante.
Un bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée, à moins d'être un génie en devinettes.
Un service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server).
Un fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab).
La commande kinit permet à un principal déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial (ou TGT de l'anglais Ticket-granting Ticket). Pour obtenir de plus amples informations sur l'utilisation de la commande kinit, consultez sa page de manuel.
Le principal est le nom unique d'un utilisateur ou d'un service autorisé à s'authentifier à l'aide de Kerberos. Un nom principal a le format suivant : root[/instance]@REALM. Pour un utilisateur ordinaire, l'élément root correspond à l'ID de connexion. L'instance est facultative. Si le principal a une instance, elle est séparée de l'élément root par une barre oblique en avant ("/"). Une chaîne vide ("") est considérée comme une instance valide (qui est différente de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les noms principaux d'une zone (aussi appelée realm selon le mot anglais) ont leur propre clé qui est dérivée de leur mot de passe ou est définie de façon aléatoire pour les services.
Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs appelés KDC et d'un nombre clients potentiellement élevé.
Programme accessible sur le réseau.
Un ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. Ce ticket est aussi appelé certificats d'identité ou credentials.
Serveur émettant les tickets pour un service souhaité. L'utilisateur doit ensuite employer ces derniers pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC.
Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC.
Un mot de passe en texte clair, lisible par tout un chacun.
| Précédent | Sommaire | Suivant |
| Kerberos | Niveau supérieur | Fonctionnement de Kerberos |