18.2. Terminologie Kerberos

Kerberos dispose de sa propre terminologie pour définir différents aspects du service. Avant d'évoquer la manière dont Kerberos fonctionne, il convient de se familiariser avec les termes suivants :

Authentification Serveur (AS)

Un serveur émettant des tickets pour un service souhaité qui sont à leur tour transmis aux utilisateurs pour l'accès au service. L'AS répond aux requêtes des clients qui ne disposent pas de certificats d'identité ou ne les ont pas envoyés avec leur demande. Il est généralement utilisé pour obtenir l'accès au service du Serveur d'Émission de Tickets (ou TGS de l'anglais Ticket-granting Server) en émettant un Ticket d'émission de Tickets (ou TGT de l'anglais Ticket-granting Ticket). L'AS tourne généralement sur le même hôte que le Centre de Distribution de Clés (ou KDC de l'anglais Key Distribution Center).

ciphertext

Données cryptées.

client

Entité sur le réseau (un utilisateur, un hôte ou une application) pouvant recevoir un ticket de Kerberos.

certificats d'identité

Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. On appelle aussi cet ensemble de certificats d'identité un ticket.

cache de certificat d'identité ou fichier de ticket

Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge de cette façon.

hache crypté

Hachage unidirectionnel utilisé pour l'authentification des utilisateurs. Bien qu'étant plus sûr que le texte clair, un pirate expérimenté peut assez facilement le décoder.

GSS-API

L'API d'authentification Generic Security Service Application Program Interface (définie dans le document RFC-2743 publié par The Internet Engineering Task Force) correspond à un ensemble de fonctions qui fournissent des services de sécurité. Ces services sont utilisés par les clients et les services pour leur authentification réciproque sans qu'aucun des deux programmes ne soient vraiment informés du mécanisme sous-jacent. Si un service de réseau (comme IMAP) utilise GSS-API, il peut se servir de Kerberos pour ses besoins d'authentification.

hachage

Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante.

clé

Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée, à moins d'être un génie en devinettes.

KDC (Key Distribution Center ou centre de distribution de clés)

Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server).

table clé ou keytab

Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab).

kinit

La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial ouTGT (de l'anglais Ticket-granting Ticket). Pour de plus amples informations sur l'utilisation de la commande kinit, consultez sa page de manuel.

principal

Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a le format root[/instance]@REALM. Pour un utilisateur ordinaire, la variable root correspond à l'ID de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant (/). Une chaîne vide ("") est considérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services.

realm

Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients.

service

Programme accessible via le réseau.

ticket

Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. On appelle aussi cet ensemble de certificats d'identité un ticket.

Service d'émission de tickets (ou TGS de l'anglais Ticket -granting Service)

Serveur émettant les tickets pour un service souhaité que l'utilisateur doit ensuite employer pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC.

Ticket d'émission de tickets (ou TGT de l'anglais Ticket-granting Ticket)

Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC.

mot de passe non-crypté

Un mot de passe en texte clair, lisible par quiconque.