2.2.2 - Principal
Principal é o nome de referência aos registros no banco de dados do servidor de autenticação. Um principal é associado a cada usuário, computador ou serviço de um dado domínio. Um principal em Kerberos 5 é do seguinte tipo:
componente1/componente2/.../componenteN@DOMÍNIO
Contudo, na prática, um máximo de dois componentes é utilizado. Para um registro referente a um usuário, o principal é do seguinte tipo:
nome[/instância]@DOMÍNIO
A instância é opcional e normalmente utilizada para melhor qualificar o tipo de usuário. Por exemplo, usuários administradores normalmente têm a instância "admin". Os seguintes são exemplos de principals referentes a usuários:
michel@ARCHLINUX.ORG
admin/admin@ARCHLINUX.ORG
jorge/admin@ARCHLINUX.ORG
Se, ao invés, os registros se referirem a serviços, os principals assumem a seguinte forma:
serviço/nome_do_computador@DOMÍNIO
O primeiro componente é o nome do serviço, por exemplo, imap, ftp. Frequentemente é o nome do computador que indica acesso genérico à máquina. O segundo componente é o nome completo do computador, FQDN (do inglês Fully Qualified Domain Name), provedor do serviço. É importante que esse componente corresponda exatamente à resolução DNS inversa do IP do servidor de aplicação. Os seguintes são exemplos válidos de principals referentes a serviços:
imap/mbox.ARCHLINUX.ORG@ARCHLINUX.ORG
nome_do_computador/servidor.ARCHLINUX.ORG@ARCHLINUX.ORG
Por último, existem principals que não se referem a usuários ou serviços, mas cumprem um papel na operação do sistema de autenticação. Um exemplo geral é generico/DOMÍNIO@DOMÍNIO, com sua chave associada, usado para criptografar o bilhete de concessão.
Em Kerberos 4, jamais deve haver mais que dois componentes e são separados pelo caracter "." ao invés de "/", enquanto o nome do computador nos principals referentes a serviços são os mais curtos, e não FQDN. Os seguintes exemplos são válidos:
michel@ARCHLINUX.ORG
jorge.admin@ARCHLINUX.ORG
imap.mbox@ARCHLINUX.ORG