servidor de contraseñas: permite a los clientes (sujetos principales) cambiar sus contraseñas en el
servidor Kerberos de manera remota. El servidor de contraseñas se suele ejecutar en la misma
máquina que el servidor Kerberos.
sujeto principal: nombre de un usuario o un servicio en un reino Kerberos. Un usuario se
considera una persona, mientras que un servicio sirve para identificar una aplicación específica o un
conjunto de servicios del sistema operativo. En i5/OS, se utiliza el sujeto principal de servicio
krbsvr400 para identificar el servicio que prestan los servidores iSeries Access para Windows,
QFileSrv.400 y Telnet al autenticar desde el cliente ante el iSeries.
tickets transferibles por poderes: ticket de otorgamiento de tickets (TGT) que permite obtener un
ticket para un servicio que tenga direcciones IP distintas a las que hay en el TGT. A diferencia de los
tickets reenviables, no podrá transferir por poderes un TGT nuevo desde el TGT actual; solo pueden
transferirse por poderes los tickets de servicio. Los tickets reenviables le permiten transferir su
identidad completa (TGT) a otra máquina, mientras que los tickets transferibles por poderes solo le
permiten transferir determinados tickets. Los tickets transferibles por poderes permiten que un
servicio realice una tarea en nombre de un sujeto principal. El servicio debe poder tomar la
identidad del sujeto principal para una finalidad determinada. Un ticket transferible por poderes
indica al servidor Kerberos que puede emitir un ticket nuevo a una dirección de red diferente,
basándose en el ticket de otorgamiento de tickets original. Para los tickets transferibles por poderes
no se necesitan contraseñas.
reino: conjunto de los usuarios y servidores cuya autorización se autentica mediante un servidor
Kerberos dado.
confianza de reinos: para determinar la confianza de los reinos, el protocolo Kerberos busca en el
archivo de configuración (por ejemplo, en krb5.conf) o bien busca, por omisión, las relaciones de
confianza dentro de la jerarquía de reinos. El uso de reinos de confianza en el servicio de
autenticación de red le permite saltarse este proceso y crea un método abreviado para la
autenticación. La confianza de los reinos puede utilizarse en las redes en las que los reinos se
encuentran en dominios diferentes. Por ejemplo, si una empresa tiene un reino en NY.MYCO.COM
y otro en LA.MYCO.COM, se puede establecer una relación de confianza entre estos dos reinos. Si
dos reinos tienen confianza entre sí, los servidores Kerberos asociados a ellos deben compartir una
clave. Antes de crear un método abreviado, debe configurar los servidores Kerberos para que
confíen entre sí.
tickets renovables: en algunos casos, puede ser interesante que una aplicación o un servicio
tengan tickets cuya validez se prolongue durante largo tiempo. Sin embargo, una persona podría
aprovecharse de ese tiempo prolongado para robar las credenciales que serían válidas hasta la fecha
de caducidad del ticket. Los tickets renovables permiten que las aplicaciones obtengan tickets
válidos durante periodos de tiempo prolongados. En los tickets renovables hay dos fechas de
caducidad. La primera fecha de caducidad es válida para la instancia actual del ticket y la segunda
se refiere a la fecha de caducidad más tardía permitida para el ticket.
ticket de servicio: ticket que autentica un sujeto principal ante un servicio.
servicio de otorgamiento de tickets (TGS): servicio que presta el servidor Kerberos que emite
tickets de servicio.
ticket de otorgamiento de tickets (TGT): ticket que permite acceder al servicio de otorgamiento
de tickets en el servidor Kerberos. El servidor Kerberos pasa los ticket de otorgamiento de tickets al
sujeto principal una vez que este haya realizado una petición satisfactoria al servidor de
autenticación. En un entorno Windows
Kerberos verificará el nombre del sujeto principal y su contraseña cifrada y luego enviará un ticket
de otorgamiento de tickets al usuario. Desde un servidor iSeries, los usuarios puede solicitar un
ticket con el mandato kinit en la interfaz basada en caracteres del intérprete Qshell.
78
iSeries: Servicio de autenticación de red
(R)
2000, un usuario inicia sesión en la red y el servidor