「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[認証基盤]]
--[[Windows]]
---[[ドメイン サービス (AD DS)]]

* 目次 [#j2fa2c16]
#contents

*概要 [#c60041d0]
-クライアント・サーバ間のネットワーク認証方式の一つ。
-[[Active Directory>ドメイン サービス (AD DS)]]で[[ドメイン アカウント]]を使用しシングルサインオンを提供する。
-MITのAthenaプロジェクトによって開発され、RFCで規定されている。
--https://www.ietf.org/rfc/rfc1510.txt
--https://www.ietf.org/rfc/rfc4120.txt
--https://www.ietf.org/rfc/rfc4121.txt

*役割 [#eb4f2bd3]
[[Active Directory(以下、ADと略す)のドメイン コントローラ>ドメイン サービス (AD DS)]]に同梱される。

**KDC [#i78d6009]
KDC : Key Distribution Center

-クライアント・サーバから見て第3者である~
KDC を介してユーザとホストが互いに相互認証する。

-認証と暗号化用の鍵の配布を鍵管理センタ。
-KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。

***AS [#mddcff1d]
AS : Authentication Server

ユーザーからの認証を受け付ける。

余談だが、OAuthは、Authorization Server、~
ケルベロスは、Authentication Serverで、~
上記は、スペルミスでは無い。

***TGS [#acc79914]
TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

*用語 [#oa6b15f9]

-Kerberosの用語~
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html

**TGT [#s7252b21]
TGT : Ticket Granting Ticket

チケット発行のための大もとのチケット。

**TGS [#facebb7b]
TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

**レルム [#d6d9d3fc]
レルム : realm

-ケルベロスで管理される範囲を示す(ADであればドメインのこと)。
-≒全て大文字で記載されたドメイン名

**プリンシパル [#u0205178]
プリンシパル : principals

レルム内で管理されるユーザ、ホスト、サービス
-ユーザ プリンシパル~
--ユーザ名@レルム
--ユーザ名/グループ名@レルム

-ホスト プリンシパル
--ホスト名/FQDN名@レルム

-サービス プリンシパル([[SPN]])
--サービス名/FQDN名@レルム

-Kerberosチケット交付サービスプリンシパル

*シーケンス [#reea59d4]
-ユーザー~
[[ドメイン アカウント]]をKDC-ASに送信する。

-KDC-AS~
--[[ドメイン アカウント]]を認証する。
--ユーザーに対してTGTを発行する。

-ユーザー~
TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。

-KDC-TGS~
ユーザーに対して暗号化された証明書を発行する。

-ユーザー~
--証明書を復号化しチケットとセッション鍵を取り出す。
--アクセス先のサーバーへチケットを提出する。

-サーバー~
--チケットを復号化しユーザー情報とセッション鍵を取り出す。
--ユーザーを認識し、そのユーザーに合ったアクセスを許可する。

*複数[[ドメイン>Active Directory(概要)#mddefc78]]を跨るSSO [#u602ffb1]

**[[信頼関係>Active Directory(概要)#d40c03fa]] [#tc3cc2c5]
[[ドメイン>Active Directory(概要)#mddefc78]]間の[[フォレスト>Active Directory(概要)#e6994dc1]]の[[信頼関係>Active Directory(概要)#d40c03fa]]を設定する必要がある。

-IBM Knowledge Center - 複数の Active Directory ドメインをまたがる Web クライアント用の Windows シングルサインオン~
https://www.ibm.com/support/knowledgecenter/ja/SSKTMJ_9.0.1/admin/conf_windowssinglesignonforwebclientsacrossmultipleac_t.html

**[[FIM/MIM]] [#j3abdae9]
-[[FIM/MIM]]などの統合ID管理ソリューションの、プロビジョニング機能を使用して、~
異なるドメインで同じアカウントを使用して認証可能(ただし、OSSにならない)。

-[[クレームベース認証]]を使用するという手段も有効(こちらはSSOになる)。

*参考 [#bb851493]
-Insider's Computer Dictionary [Kerberos] - @IT~
http://www.atmarkit.co.jp/icd/root/11/87736911.html

-情報セキュリティ入門 - ケルベロス認証:ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/

-Kerberos 認証の概要~
https://technet.microsoft.com/ja-jp/library/Hh831553.aspx

**3 Minutes Networking [#y5b979b1]
http://www5e.biglobe.ne.jp/%257eaji/3min/

-補講第4回Kerberos(1) プリンシパルとレルム~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html
-補講第5回Kerberos(2) 鍵配布センター~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html
-補講第6回Kerberos(3) チケット~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html
-補講第7回Kerberos(4) KDCセキュリティ~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html
-補講第8回Kerberos(5) クロスレルム認証~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html

**[[ベース クライアント セキュリティ モデル]] [#bd0d6374]
***[[SPN]] [#v5f6eb18]
***[[委任]] [#qd8fb669]
***[[ドメイン アカウント]] [#aff6e078]

----
Tags: [[:Windows]], [[:認証基盤]]
Tags: [[:IT国際標準]], [[:Windows]], [[:認証基盤]]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS