他のシステムと同様、Kerberosにも独自の用語があります。Kerberosの機能を説明する前に、知っておく必要のある用語の一覧を以下に示します。
暗号化されたデータ。
Kerberosからチケットを取得することができる、ネットワーク上のエンティティ(ユーザー、ホスト、アプリケーションなど)。
ユーザーと各種ネットワークサービスの間の通信データを暗号化するための鍵を含むファイル。Kerberos 5は、その他のキャッシュタイプ(たとえば共有メモリ)を使用するための枠組みを提供しますが、ファイルの方が十分にサポートされています。
データを暗号化/複号化する際に使用されるデータ。暗号化されたデータを復号化するには、正しい鍵を使用するか勘に頼るしかありません。
Kerberosのチケットを発行するサービス。通常はTicket Granting Serverと同一のホスト上で動作します。
暗号化されていないプリンシパルとその鍵の一覧を含むファイル。サーバーは、kinitを使用せずに、keytabファイルから必要な鍵を取り出します。デフォルトのkeytabファイルは/etc/krb5.keytabです。kadmindコマンドでのみ、その他のファイルを使用できます(kadmindは/var/kerberos/krb5kdc/kadm5.keytabを使用します)。
暗号化されていないデータ。
Kerberosを使用して認証を行うことができるユーザーまたはサービス。プリンシパル名の形式は、「"root[/instance]@REALM"」です。一般的なユーザーの場合、rootは、ユーザーのログインIDと等しくなります。instanceは、オプションです。プリンシパルが1つのインスタンスを持つ場合、インスタンスとrootをスラッシュ(「/」)で区切ります。空の文字列("")も実際には有効なインスタンスとなります(デフォルトのNULLインスタンスとは異なります)が、使用すると混乱のもとになります。1つのrealmに属するすべてのプリンシパルは、独自の鍵を持ちます。鍵はパスワードから導き出される(ユーザーの場合)か、ランダムに設定されます(サービスの場合)。
Kerberosを使用したネットワーク。一台または少数台のサーバー(KDCと呼ばれます)と非常に多数になると考えられるクライアントから構成されます。
ネットワーク経由のアクセス対象となるプログラムかコンピュータ。
特定のサービスに関してクライアントの身元を検証するための、一時的な電子証明書のセット。
ユーザーが実際にアクセスするために使用する目的のサービスに対し、チケットを発行します。TGSは通常、KDCと同一のホスト上で動作します。
あらためてKDCに対して要求しなくても、クライアントが追加のチケットを取得できるようにする特殊なチケット。