Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - Terminologie sp�cifique � Kerberos

19.2. Terminologie sp�cifique � Kerberos

Kerberos dispose de sa propre terminologie pour d�finir diff�rents aspects du service. Avant d'�voquer la mani�re slon laquelle Kerberos fonctionne, il convient de se familiariser avec les termes suivants�:

serveur d'authentification (ou AS, Authentication Server)

Un serveur �mettant des tickets pour un service souhait� ces derniers sont � leur tour transmis aux utilisateurs pour l'acc�s au service. Le serveur d'authentification (ou AS de l'anglais Authentification Serveur) r�pond aux requ�tes des clients qui ne disposent pas de certificats d'identit� ou ne les ont pas envoy�s avec leur demande. Il est g�n�ralement utilis� pour obtenir l'acc�s au service du Serveur d'�mission de Tickets (ou TGS de l'anglais Ticket-granting Server) qui est octroy� en cr�ant un Ticket d'�mission de Tickets (ou TGT de l'anglais Ticket-granting Ticket). L'AS tourne g�n�ralement sur le m�me h�te que le Centre de Distribution de Cl�s (ou KDC de l'anglais Key Distribution Center).

ciphertext

Des donn�es crypt�es.

client

Une entit� sur le r�seau (un utilisateur, un h�te ou une application) pouvant recevoir un ticket de Kerberos.

certificats d'identit�

Un ensemble temporaire de certificats d'identit� �lectroniques qui v�rifient l'identit� d'un client pour un service particulier. Cet ensemble de certificats d'identit� est aussi appel� un ticket ou credentials selon le mot anglais.

cache de certificats d'identit�s ou fichier de tickets

Un fichier contenant les cl�s n�cessaires au cryptage des communications entre un utilisateur et divers services r�seau. Kerberos 5 fournit un cadre permettant d'utiliser d'autres types de caches tels qu'une m�moire partag�e, mais les fichiers sont mieux pris en charge de cette fa�on.

hache crypt� (ou crypt hash)

Un hache unidirectionnel utilis� pour l'authentification des utilisateurs. Bien qu'�tant plus s�r que le texte clair, un pirate exp�riment� peut assez facilement le d�coder.

GSS-API

L'API d'authentification Generic Security Service Application Program Interface (d�finie dans le document RFC-2743 publi� par The Internet Engineering Task Force) repr�sente un ensemble de fonctions qui fournissent des services de s�curit�. L'API est utilis�e par les clients et les services pour leur authentification r�ciproque sans qu'aucun des deux programmes ne reconnaissent vraiment le m�canisme sous-jacent. Si un service r�seau (comme le serveur cyrus-IMAP) utilise GSS-API, il peut se servir de Kerberos pour ses besoins d'authentification.

hache (ou hash)

Un nombre cr�� � partir de texte et utilis� pour garantir que des donn�es transmises n'ont pas �t� manipul�es de mani�re malveillante.

cl�

Un bloc de donn�es utilis� pour le cryptage et le d�cryptage de donn�es. Il est impossible de d�crypter des donn�es crypt�es sans disposer de la cl� appropri�e, � moins d'�tre un g�nie en devinettes.

centre de distribution de cl�s (ou KDC, Key Distribution Center)

Un service �mettant des tickets Kerberos, g�n�ralement ex�cut� sur le m�me h�te que le serveur d'�mission de tickets ou TGS (de l'anglais Ticket-granting Server).

keytab (ou table cl�)

Un fichier contenant une liste crypt�e des "principaux" et de leurs cl�s respectives. Les serveurs extraient les cl�s dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par d�faut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab).

kinit

La commande kinit permet � un principal d�j� connect� d'obtenir et de mettre en cache le ticket d'�mission de tickets initial (ou TGT de l'anglais Ticket-granting Ticket). Pour obtenir de plus amples informations sur l'utilisation de la commande kinit, consultez sa page de manuel.

principal (ou nom principal)

Le principal est le nom unique d'un utilisateur ou d'un service autoris� � s'authentifier � l'aide de Kerberos. Un nom principal a le format suivant�: root[/instance]@REALM. Pour un utilisateur ordinaire, l'�l�ment root correspond � l'ID de connexion. L'instance est facultative. Si le principal a une instance, elle est s�par�e de l'�l�ment root par une barre oblique en avant ("/"). Une cha�ne vide ("") est consid�r�e comme une instance valide (qui est diff�rente de l'instance NULL par d�faut), mais son utilisation peut �tre source de confusion. Tous les noms principaux d'une zone (aussi appel�e realm selon le mot anglais) ont leur propre cl� qui est d�riv�e de leur mot de passe ou est d�finie de fa�on al�atoire pour les services.

zone (ou realm)

Un r�seau utilisant Kerberos, compos� d'un ou plusieurs serveurs appel�s KDC et d'un nombre clients potentiellement �lev�.

service

Programme accessible sur le r�seau.

ticket

Un ensemble temporaire de certificats d'identit� �lectroniques qui v�rifient l'identit� d'un client pour un service particulier. Ce ticket est aussi appel� certificats d'identit� ou credentials.

service d'�mission de tickets (ou TGS, Ticket -granting Service)

Serveur �mettant les tickets pour un service souhait�. L'utilisateur doit ensuite employer ces derniers pour acc�der au service en question. Le TGS fonctionne en g�n�ral sur le m�me h�te que le KDC.

ticket d'�mission de tickets (ou TGT, Ticket-granting Ticket)

Ticket sp�cial permettant au client d'obtenir des tickets suppl�mentaires sans les demander au KDC.

mot de passe non-crypt�

Un mot de passe en texte clair, lisible par tout un chacun.

 
 
  Published under the terms of the GNU General Public License Design by Interspire