ケルベロス認証 のバックアップ(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ケルベロス認証 へ行く。
  • 1 (2015-08-21 (金) 11:42:56)
  • 2 (2015-08-23 (日) 14:43:36)
  • 3 (2016-01-26 (火) 18:38:26)
  • 4 (2017-01-04 (水) 15:41:18)
  • 5 (2017-03-27 (月) 10:43:23)
  • 6 (2017-04-16 (日) 16:13:07)
  • 7 (2017-04-28 (金) 19:09:13)
  • 8 (2017-12-27 (水) 11:39:54)
  • 9 (2018-02-14 (水) 20:29:03)
  • 10 (2018-05-30 (水) 10:16:14)
  • 11 (2018-10-09 (火) 22:17:26)
  • 12 (2019-09-11 (水) 09:49:44)
  • 13 (2019-09-13 (金) 20:52:06)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 認証基盤
  • Windows
    • ドメイン サービス (AD DS)

目次 †

概要 †

• クライアント・サーバ間のネットワーク認証方式の一つ。
• Active Directoryでドメイン アカウントを使用しシングルサインオンを提供する。
• MITのAthenaプロジェクトによって開発され、RFCで規定されている。
  • https://www.ietf.org/rfc/rfc1510.txt
  • https://www.ietf.org/rfc/rfc4120.txt
  • https://www.ietf.org/rfc/rfc4121.txt

役割 †

Active Directory（以下、ADと略す）のドメイン コントローラに同梱される。

KDC †

KDC : Key Distribution Center

• クライアント・サーバから見て第3者である
  KDC を介してユーザとホストが互いに相互認証する。

• 認証と暗号化用の鍵の配布を鍵管理センタ。
• KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。

AS †

AS : Authentication Server

ユーザーからの認証を受け付ける。

余談だが、OAuthは、Authorization Server、
ケルベロスは、Authentication Serverで、
上記は、スペルミスでは無い。

TGS †

TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

用語 †

• Kerberosの用語
  http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html

TGT †

TGT : Ticket Granting Ticket

チケット発行のための大もとのチケット。

TGS †

TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

レルム †

レルム : realm

• ケルベロスで管理される範囲を示す（ADであればドメインのこと）。
• ≒全て大文字で記載されたドメイン名

プリンシパル †

プリンシパル : principals

レルム内で管理されるユーザ、ホスト、サービス

• ユーザ プリンシパル
  
  • ユーザ名@レルム
  • ユーザ名/グループ名@レルム

• ホスト プリンシパル
  • ホスト名/FQDN名@レルム

• サービス プリンシパル（SPN）
  • サービス名/FQDN名@レルム

• Kerberosチケット交付サービスプリンシパル

シーケンス †

• ユーザー
  ドメイン アカウントをKDC-ASに送信する。

• KDC-AS
  
  • ドメイン アカウントを認証する。
  • ユーザーに対してTGTを発行する。

• ユーザー
  TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。

• KDC-TGS
  ユーザーに対して暗号化された証明書を発行する。

• ユーザー
  
  • 証明書を復号化しチケットとセッション鍵を取り出す。
  • アクセス先のサーバーへチケットを提出する。

• サーバー
  
  • チケットを復号化しユーザー情報とセッション鍵を取り出す。
  • ユーザーを認識し、そのユーザーに合ったアクセスを許可する。

複数ドメインを跨るSSO †

信頼関係 †

ドメイン間のフォレストの信頼関係を設定する必要がある。

• IBM Knowledge Center - 複数の Active Directory ドメインをまたがる Web クライアント用の Windows シングルサインオン
  https://www.ibm.com/support/knowledgecenter/ja/SSKTMJ_9.0.1/admin/conf_windowssinglesignonforwebclientsacrossmultipleac_t.html

FIM/MIM †

• FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
  異なるドメインで同じアカウントを使用して認証可能（ただし、OSSにならない）。

• クレームベース認証を使用するという手段も有効（こちらはSSOになる）。

参考 †

• Insider's Computer Dictionary [Kerberos] － ＠IT
  http://www.atmarkit.co.jp/icd/root/11/87736911.html

• 情報セキュリティ入門 - ケルベロス認証：ITpro
  http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/

• Kerberos 認証の概要
  https://technet.microsoft.com/ja-jp/library/Hh831553.aspx

3 Minutes Networking †

http://www5e.biglobe.ne.jp/%257eaji/3min/

• 補講第４回Kerberos(1) プリンシパルとレルム
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html
• 補講第５回Kerberos(2) 鍵配布センター
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html
• 補講第６回Kerberos(3) チケット
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html
• 補講第７回Kerberos(4) KDCセキュリティ
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html
• 補講第８回Kerberos(5) クロスレルム認証
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html

ベース クライアント セキュリティ モデル †

SPN †

委任 †

ドメイン アカウント †

---

Tags: :Windows, :認証基盤

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.028 sec.