ケルベロス認証

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 認証基盤
  • Windows
    • ドメイン サービス (AD DS)

目次 †

概要 †

ケルベロス認証（Kerberos Authentication）

• クライアント・サーバ間のネットワーク認証方式の一つ。
• Active Directoryでドメイン アカウントを使用しシングルサインオンを提供する。
• MITのAthenaプロジェクトによって開発され、RFCで規定されている。
  • https://www.ietf.org/rfc/rfc1510.txt
  • https://www.ietf.org/rfc/rfc4120.txt
  • https://www.ietf.org/rfc/rfc4121.txt

用語 †

KDC : Key Distribution Center †

• Active Directory（以下、ADと略す）のドメイン コントローラに同梱される。

• クライアント・サーバから見て第3者である
  KDCを介してユーザとホストが互いに相互認証する。

• 2者間認証は行わず、3者間認証を行う。

• KDCは
  • 認証と暗号化用の鍵の配布を鍵管理センタ。
  • 各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。
  • 下記の３つのサーバ機能を持っている。

AS : Authentication Server †

認証サーバー機能

• ユーザーからの認証を受け付ける。

TGS : Ticket Granting Server †

チケット交付サーバー機能

• 各サーバーを利用するためのチケットを発行する。

KDB : Kerberos Database Server †

ケルベロスDBサーバー機能

• 各ユーザの認証情報や、共通鍵などを保存する。
• 内部的にディレクトリ サービスなどが利用される。

その他の用語 †

• Kerberosの用語
  http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html

TGT : Ticket Granting Ticket †

• チケット発行のための大もとのチケット。

• TGTは以下を含む。

• ASとユーザ間で共有する...
  • ASキー

• TGSとユーザ間で共有する...
  • TGSチケット
  • TGSキー

レルム : realm †

• ケルベロスで管理される範囲を
  示す（ADであればドメインのこと）。

• ≒全て大文字で記載されたドメイン名

プリンシパル : principals †

レルム内で管理されるユーザ、ホスト、サービス

• ユーザ プリンシパル
  
  • ユーザ名@レルム
  • ユーザ名/グループ名@レルム

• ホスト プリンシパル
  • ホスト名/FQDN名@レルム

• サービス プリンシパル（SPN）
  • サービス名/FQDN名@レルム

• Kerberosチケット交付サービスプリンシパル

詳細 †

シーケンス †

(1) ユーザー †

ドメイン アカウントをKDC-ASに送信する。

(2) KDC-AS †

• ドメイン アカウントを認証する。
• ユーザーに対してASキーで暗号化したTGTを発行する。

(3) ユーザー †

• TGTをASキーで復号化して、TGSキーとチケットを取得。

• TGSチケットに情報を付与してTGSキーで暗号化する。

• コレを用いて、KDCのTGSに対して
  証明書（チケットとセッション鍵）の発行を依頼する。

(4) KDC-TGS †

• TGSキーでTGSチケットを取り出す。

• ユーザーを認証し、KDBの共通鍵で暗号化された
  証明書（チケットとセッション鍵）を発行する。

(5) ユーザー †

• 証明書をKDBの共通鍵で復号化し証明書（チケットとセッション鍵）を取り出す。
• チケットにクライアント情報を付与し、認証チケットとする。
• 認証チケットをセッション鍵で暗号化して、アクセス先のサーバへ提出する。

(6) サーバー †

• 認証チケットをセッション鍵で復号化する。
• これを、更にKDBの共通鍵で復号化する。
• ユーザーを識別してアクセスを許可する。

構築手順 †

概要 †

• WWWクライアントとWWWサーバをドメインに追加

• WWWクライアント側、ブラウザを構成
  • 統合 Windows 認証の有効化

• WWWサーバ側、IISを構成
  • 統合 Windows 認証の有効化
  • SPNをIISのマシン上に登録
    （IISでは暗黙的に行われるもよう）

• ドメイン、Active Directoryを構成
  • 委任の資格情報を持つすべてのコンピュータで委任を有効にする

• アプリケーションサーバ、ASP.NET側を構成
  • 統合 Windows 認証の有効化
  • 委任を行う場合は偽装を設定

参考 †

• 設定方法
  • 認証を委任する場合の ASP.NET アプリケーションの構成方法
    https://support.microsoft.com/ja-jp/help/810572/how-to-configure-an-asp-net-application-for-a-delegation-scenario
  • IIS で Kerberos を利用する方法 - Web/DB プログラミング徹底解説
    https://www.keicode.com/iis/iis-kerberos.php

• 確認方法
  • IdM実験室: Kerberos 認証の設定を確認する
    http://idmlab.eidentity.jp/2012/11/kerberos.html

• Kerberos Authentication Tester
  Michel Barneveld's Blog - Michel Barneveld
  http://blog.michelbarneveld.nl/michel/archive/2009/12/05/kerberos-authentication-tester.aspx

複数ドメインを跨るSSO †

信頼関係 †

ドメイン間のフォレストの信頼関係を設定する必要がある。

• IBM Knowledge Center - 複数の Active Directory ドメインをまたがる Web クライアント用の Windows シングルサインオン
  https://www.ibm.com/support/knowledgecenter/ja/SSKTMJ_9.0.1/admin/conf_windowssinglesignonforwebclientsacrossmultipleac_t.html

FIM/MIM †

• FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
  異なるドメインで同じアカウントを使用して認証可能（ただし、OSSにならない）。

• クレームベース認証を使用するという手段も有効（こちらはSSOになる）。

参考 †

• Insider's Computer Dictionary [Kerberos] － ＠IT
  http://www.atmarkit.co.jp/icd/root/11/87736911.html

• 情報セキュリティ入門 - ケルベロス認証：ITpro
  http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/

• Kerberos 認証の概要
  https://technet.microsoft.com/ja-jp/library/Hh831553.aspx

3 Minutes Networking †

http://www5e.biglobe.ne.jp/%257eaji/3min/

• 補講第４回Kerberos(1) プリンシパルとレルム
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html
• 補講第５回Kerberos(2) 鍵配布センター
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html
• 補講第６回Kerberos(3) チケット
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html
• 補講第７回Kerberos(4) KDCセキュリティ
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html
• 補講第８回Kerberos(5) クロスレルム認証
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html

ベース クライアント セキュリティ モデル †

SPN †

委任 †

ドメイン アカウント †

Tags: :IT国際標準, :Windows, :認証基盤