Kerberosにも様々なサービスを定義するための独自の用語があります。Kerberosの機能を理解する前に 知っておく必要のある用語を以下に示します。
暗号化されたデータ。
Kerberosからチケットを得る事ができるネットワーク上の実体名目(ユーザー、ホスト、アプリケーションなど)。
ユーザーと各種ネットワークサービスの間の通信を暗号化するための鍵を含むファイル。 Kerberos 5は、その他のキャッシュタイプ(たとえば共有メモリ)を使用するための枠組みを提供しますが、 ファイルの方が徹底してサポートされています。
ユーザの認証に使う一方向ハッシュ。プレインテキストよりセキュアですが、経験豊富なクラッカーに とっては、容易に解読されるものです。
汎用セキュリティサービスアプリケーションプログラムインターフェイス(GSS-API) [RFC-2743]は 一連の機能セットで、裏で動作している機構の特別な知識がなくても、クライアントがサーバへの 認証に使用し、サーバはクライアントを認証するのに使用できます。ネットワークサービス(例;IMAP)が GSS-APIを使用していると、Kerberosを使って認証が出来ます。
データを暗号化/複号化する際に使用されるデータ。暗号化されたデータの復号化は、 正しい鍵 (又は 超越した想像力)なしでは不可能です。
Kerberosのチケットを発行するサービス。通常はTicket Granting Serverと同一のホスト上で動作します。
暗号化されていないプリンシパルとその鍵の一覧を含むファイル。サーバーは、 kinitを使用せずに、keytabファイルから必要な鍵を取り出します。 デフォルトのkeytabファイルは/etc/krb5.keytabです。 KDC 管理サーバ、/usr/kerberos/sbin/kadmindのみが、その他のファイルを使用 するサービスです。(それは/var/kerberos/krb5kdc/kadm5.keytabを使用します)。
ログインしているプリンシパルはkinitコマンドにより、初期の TGT(Ticket Granting Ticket)を取得し、キャッシュ保存できます。kinit コマンドの使用についての詳細はそのman ページを御覧下さい。
プリンシパルはKerberosを使用して認証できる、独特のユーザー名、あるいは サービス名。プリンシパル名の形式は、root[/instance]@REALMです。 一般的なユーザーの場合、rootは、ユーザーのログインIDと等しくなります。instanceは、 オプションです。プリンシパルが1つのインスタンスを持つ場合、インスタンスとrootをスラッシュ("/")で区切ります。 空の文字列("")も実際には有効なインスタンスとなります(デフォルトのNULL インスタンスとは異なります)が、使用すると混乱のもとになります。1つのrealmに属するすべてのプリンシパルは、 独自の鍵を持ちます。鍵はパスワードから導き出されるか、サービス用にランダムに設定されます。
Kerberosを使用したネットワーク。KDCと呼ばれる一台または少数台のサーバーと非常に多数になる 可能性のあるクライアントから構成されます。
ネットワーク経由でアクセスされるプログラム。
特定のサービスに関してクライアントの身元を識別するための、一時的な電子証明書のセット。
ユーザーが実際にアクセスするために使用する目的のサービスに対し、チケットを発行するサーバー。 TGSは通常、KDCと同一のホスト上で動作します。
あらためてKDCに対して要求しなくても、クライアントが追加のチケットを取得できるようにする特殊なチケット。
プレインテキストの、人間に読み取れるパスワード。