<Предыдущая | Содержание: | Следующая>
3.1. Обзор
Если вы новичок в Kerberos, есть несколько терминов, которые следует понять перед настройкой сервера Kerberos. Большинство терминов будут относиться к вещам, с которыми вы, возможно, знакомы в других средах:
• Основной: любые пользователи, компьютеры и службы, предоставляемые серверами, должны быть определены как участники Kerberos.
• Экземпляры: используются для субъектов-служб и особых административных субъектов.
• Царства: уникальная область контроля, обеспечиваемая установкой Kerberos. Думайте об этом как о домене или группе, к которой принадлежат ваши хосты и пользователи. Согласно соглашению, область должна быть в верхнем регистре. По умолчанию ubuntu будет использовать домен DNS, преобразованный в верхний регистр (EXAMPLE.COM) в качестве области.
• Центр распространения ключей: (KDC) состоит из трех частей: базы данных всех участников, сервера аутентификации и сервера выдачи билетов. Для каждой области должен быть хотя бы один KDC.
• Билет на выдачу билетов: Выдается сервером аутентификации (AS), билет предоставления билета (TGT) зашифрован паролем пользователя, который известен только пользователю и KDC.
• Сервер выдачи билетов: (TGS) выдает сервисные билеты клиентам по запросу.
• Билеты: подтвердить личности двух руководителей. Один участник является пользователем, а другой - услугой, запрошенной пользователем. Билеты устанавливают ключ шифрования, используемый для безопасной связи во время аутентифицированного сеанса.
• Файлы Keytab: - это файлы, извлеченные из основной базы данных KDC и содержащие ключ шифрования для службы или хоста.
Чтобы собрать все вместе, в Realm есть по крайней мере один KDC, желательно больше для избыточности, который содержит базу данных участников. Когда участник-пользователь входит в рабочую станцию, настроенную для проверки подлинности Kerberos, KDC выдает билет на выдачу билета (TGT). Если предоставленные пользователем учетные данные совпадают, пользователь аутентифицируется и может затем запрашивать билеты для служб Kerberized с сервера предоставления билетов.
(ТГС). Сервисные билеты позволяют пользователю аутентифицироваться в сервисе без ввода другого имени пользователя и пароля.