マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

ケルベロス認証(Kerberos Authentication)

詳細

KDC : Key Distribution Center

  • クライアント・サーバから見て第3者である
    KDCを介してユーザとホストが互いに相互認証する。
  • 2者間認証は行わず、3者間認証を行う。
  • KDCは
    • 認証と暗号化用の鍵の配布を鍵管理センタ。
    • 各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。
    • 下記の3つのサーバ機能を持っている。

AS : Authentication Server

認証サーバー機能

  • ユーザーからの認証を受け付ける。

TGS : Ticket Granting Server

チケット交付サーバー機能

  • 各サーバーを利用するためのチケットを発行する。

KDB : Kerberos Database Server

ケルベロスDBサーバー機能

用語

TGT : Ticket Granting Ticket

  • チケット発行のための大もとのチケット。
  • TGTは以下を含む。
  • ASとユーザ間で共有する...
  • TGSとユーザ間で共有する...

レルム : realm

  • ケルベロスで管理される範囲を
    示す(ADであればドメインのこと)。
  • ≒全て大文字で記載されたドメイン名

プリンシパル : principals

レルム内で管理されるユーザ、ホスト、サービス

  • ユーザ プリンシパル
    • ユーザ名@レルム
    • ユーザ名/グループ名@レルム
  • ホスト プリンシパル
    • ホスト名/FQDN名@レルム
  • サービス プリンシパル(SPN
    • サービス名/FQDN名@レルム
  • Kerberosチケット交付サービスプリンシパル

シーケンス

(1) ユーザー

ドメイン アカウントKDC-ASに送信する。

(2) KDC-AS

(3) ユーザー

  • TGTASキーで復号化して、TGSキーとチケットを取得。
  • TGSチケットに情報を付与してTGSキーで暗号化する。
  • コレを用いて、KDCTGSに対して
    証明書(チケットとセッション鍵)の発行を依頼する。

(4) KDC-TGS

  • TGSキーでTGSチケットを取り出す。
  • ユーザーを認証し、KDBの共通鍵で暗号化された
    証明書(チケットとセッション鍵)を発行する。

(5) ユーザー

  • 証明書をKDBの共通鍵で復号化し証明書(チケットとセッション鍵)を取り出す。
  • チケットにクライアント情報を付与し、認証チケットとする。
  • 認証チケットをセッション鍵で暗号化して、アクセス先のサーバへ提出する。

(6) サーバー

  • 認証チケットをセッション鍵で復号化する。
  • これを、更にKDBの共通鍵で復号化する。
  • ユーザーを識別してアクセスを許可する。

複数ドメインを跨るSSO

信頼関係

ドメイン間のフォレスト信頼関係を設定する必要がある。

FIM/MIM

  • FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
    異なるドメインで同じアカウントを使用して認証可能(ただし、OSSにならない)。

参考

3 Minutes Networking

http://www5e.biglobe.ne.jp/%257eaji/3min/

ベース クライアント セキュリティ モデル

SPN

委任

ドメイン アカウント


Tags: :IT国際標準, :Windows, :認証基盤


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-09-13 (金) 20:52:06 (63d)