19.2. Terminología Kerberos

Como algunos otros sistemas, Kerberos tiene su propia terminología para definir varios aspectos del servicio. Antes de aprender como funciona kerberos, es importante aprender estos términos.

servidor de autenticación (AS)

Un servidor que emite tickets para un servicio deseado los cuales a su vez son entregados a los usuarios para que accesen al servicio. El AS responde a las peticiones de los clientes quienes no tienen o no envian credenciales con la petición. Usualmente es utilizado para ganar acceso al servidor de otorgamiento de tickets (Ticket-granting Server, TGS) emitiendo un ticket de acceso (TGT). El AS usualmente se ejecuta en la misma máquina que el KDC.

texto cifrado

Datos encriptados.

cliente

Una entidad en la red (un usuario, un host o una aplicación) que pueden obtener un ticket de Kerberos.

credenciales

Un grupo temporal de credenciales electrónicas que verifica la identidad de un cliente para un servicio particular. También se conoce como ticket.

caché credencial o archivo de tickets

Un archivo que contiene las llaves para encriptar las comunicaciones entre el usuario y varios servicios de red. Kerberos 5 proporciona un framework para usar otros tipos de caché, tales como memoria compartida, pero los archivos están mejor soportados.

hash encriptado

Un hash de un sentido usado para autentificar usuarios. Aunque es más seguro que los datos sin encriptar, es bastante fácil de descifrar por un cracker con experiencia.

GSS-API

La Interfaz del Programa de la Aplicación de Servicio de seguridad Genérico (Generic Security Service Application Program Interface, definido en la RFC-2743 publicada por la Fuerza de Tareas de Ingeniería de Internet) es un conjunto de funciones que proveen servicios de seguridad. Esta API es usada por clientes y servicios para autenticarse entre ellos sin que ninguno de los programas tenga un conocimiento específico del mecanismo detrás de ello. Si un servicio de red (tal como cyrus-IMAP) usa GSS-API, puede autenticar usando Kerberos.

hash

Un número de texto generado y que es usado para asegurar que los datos transmitidos no han sido dañados.

llave

Datos usados cuando encriptamos o desencriptamos otros datos. Los datos encriptados no pueden ser desencriptados sin la llave apropiada o con una extraordinaria capacidad para adivinar.

centro de distribución de llaves (KDC)

Un servicio que emite tickets Kerberos, que habitualmente se ejecuta en el mismo host que el servidor de otorgamiento de tickets (TGS).

keytab (o tabla de llaves)

Un fichero que incluye una lista desencriptada de "principals" y sus claves. Los servidores recuperan las claves que necesitan desde los archivos keytab en lugar de usar kinit. El archivo keytab por defecto es /etc/krb5.keytab. El servidor de administración KDC, /usr/kerberos/sbin/kadmind, es el único servicio que usa otro archivo (usa /var/kerberos/krb5kdc/kadm5.keytab).

kinit

El comando kinit permite a un principal quien que ya se ha conectado, obtener y hacer caché del primer ticket de acceso (TGT). Para más sobre el uso del comando kinit consulte su página del manual.

principal (o nombre del principal)

El principal es el nombre único de un usuario o servicio que puede autenticar mediante el uso de Kerberos. Un nombre de principal está en el formato root[/instance]@REALM. Para un usuario típico, el root es el mismo que su ID de inicio de sesión. La instance es opcional. Si el principal tiene una instancia, estará separada de root con una barra hacia adelante ("/"). Una cadena de caracteres vacía ("") es considerada como una instancia válida (que se diferencia del valor de la instancia por defecto NULL), pero usarlo puede ser confuso. Todos los principales de un reino tienen su propia llave, la cual para los usuarios se deriva de su contraseña o se genera aleatoriamente para servicios.

reino

Red que usa Kerberos, compuesto de uno o varios servidores (también conocidos como KDCs) y un número potencial de clientes.

servicio

Un programa accesado a través de la red.

ticket

Grupo temporal de credenciales electrónicas que verifican la identidad de un cliente para un servicio particular. También llamado credenciales.

servidor de otorgamiento de tickets (TGS)

Un servidor que emite tickets para un servicio deseado; estos tickets son entregados a los usuarios para que accesen el servicio. El TGS usualmente se ejecuta en el mismo servidor que KDC.

ticket de acceso (TGT)

Ticket especial que permite al cliente obtener tickets adicionales sin solicitarlos desde KDC.

contraseña no encriptada

Una contraseña en texto plano que se puede leer fácilmente.