マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

役割

Active Directory(以下、ADと略す)のドメイン コントローラに同梱される。

KDC

KDC : Key Distribution Center

  • クライアント・サーバから見て第3者である
    KDC を介してユーザとホストが互いに相互認証する。
  • 認証と暗号化用の鍵の配布を鍵管理センタ。
  • KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。

AS

AS : Authentication Server

ユーザーからの認証を受け付ける。

余談だが、OAuthは、Authorization Server、
ケルベロスは、Authentication Serverで、
上記は、スペルミスでは無い。

TGS

TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

用語

TGT

TGT : Ticket Granting Ticket

チケット発行のための大もとのチケット。

TGS

TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

レルム

レルム : realm

  • ケルベロスで管理される範囲を示す(ADであればドメインのこと)。
  • ≒全て大文字で記載されたドメイン名

プリンシパル

プリンシパル : principals

レルム内で管理されるユーザ、ホスト、サービス

  • ユーザ プリンシパル
    • ユーザ名@レルム
    • ユーザ名/グループ名@レルム
  • ホスト プリンシパル
    • ホスト名/FQDN名@レルム
  • サービス プリンシパル(SPN
    • サービス名/FQDN名@レルム
  • Kerberosチケット交付サービスプリンシパル

シーケンス

  • ユーザー
    TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。
  • KDC-TGS
    ユーザーに対して暗号化された証明書を発行する。
  • ユーザー
    • 証明書を復号化しチケットとセッション鍵を取り出す。
    • アクセス先のサーバーへチケットを提出する。
  • サーバー
    • チケットを復号化しユーザー情報とセッション鍵を取り出す。
    • ユーザーを認識し、そのユーザーに合ったアクセスを許可する。

複数ドメインを跨るSSO

信頼関係

ドメイン間のフォレスト信頼関係を設定する必要がある。

FIM/MIM

  • FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
    異なるドメインで同じアカウントを使用して認証可能(ただし、OSSにならない)。

参考

3 Minutes Networking

http://www5e.biglobe.ne.jp/%257eaji/3min/

ベース クライアント セキュリティ モデル

SPN

委任

ドメイン アカウント


Tags: :IT国際標準, :Windows, :認証基盤


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-10-09 (火) 22:17:26 (9d)