Como algunos otros sistemas, Kerberos tiene su propia terminología para definir varios aspectos del servicio. Antes de aprender como funciona kerberos, es importante aprender estos términos.
Datos encriptados.
Una entidad en la red (un usuario, un host o una aplicación) que pueden obtener un ticket de Kerberos.
Un archivo que contiene las claves para encriptar las comunicaciones entre el usuario y varios servicios de red. Kerberos 5 proporciona un framework para usar otros tipos de caché, tales como memoria compartida, pero los archivos están mejor soportados.
Un hash de un sentido usado para autentificar usuarios. Aunque es más seguro que el texto plano, es bastante fácil de descifrar por un cracker con experiencia.
La Interfaz del programa de la aplicación de servicio de seguridad (Generic Security Service Application Program Interface [RFC-2743]) es un conjunto de funciones que proveen servicios de seguridad que los clientes pueden utilizar para autenticarse con los servidores y que los servidores pueden usar para autenticar clientes sin un conocimiento específico del mecanismo detrás de ello. Si un servicio de red (tal como IMAP) usa GSS-API, se puede autenticar usando Kerberos.
Datos usados cuando encriptamos o desencriptamos otros datos. Los datos encriptados no pueden ser desencriptados sin la clave apropiada.
Un servicio que emite tickets Kerberos, que habitualmente se ejecutan en el mismo host como un Ticket Granting Server.
Un fichero que incluye una lista desencriptada de "principals" y sus claves. Los servidores recuperan las claves que necesitan desde los archivos keytab en lugar de usar kinit. El archivo keytab por defecto es /etc/krb5.keytab. El servidor de administración KDC, /usr/kerberos/sbin/kadmind, es el único servicio que usa otro archivo (usa /var/kerberos/krb5kdc/kadm5.keytab).
El comando kinit permite a un principal quien que ya se ha conectado, obtener el primer Ticket Granting Ticket (TGT). Para más sobre el uso del comando kinit consulte la página del manual.
El principal es el nombre único del usuario o servicio que puede autenticar mediante el uso de Kerberos. Un nombre de principal está en el formato root[/instance]@REALM. Para un usuario típico, el root es el mismo que su ID de login. La instance es opcional. Si el principal tiene una instancia, estará separada de root con una barra hacia adelante ("/"). Una cadena de caracteres vacía ("") es considerada como una instancia válida (que se diferencia del valor de la instancia por defecto NULL), pero usarlo puede ser confuso. Todos los principals de un reino tienen su propia clave, que se deriva de su contraseña (para usuarios) o aleatoriamente (para servicios).
Red que usa Kerberos, compuesto de uno o varios servidores (también conocidos como KDCs) y un número potencial de clientes.
Un programa accesado a través de la red.
Grupo temporal de credenciales electrónicas que verifica la identidad de un cliente para un servicio particular.
Un servidor que emite tickets para un servicio deseado; estos tickets son entregados a los usuarios para que accesen el servicio. El TGS usualmente se ejecuta en el mismo servidor que KDC
Ticket especial que permite al cliente obtener tickets adicionales sin solicitarlos desde KDC.
Una contraseña en texto plano que se puede leer fácilmente.