ケルベロス認証 のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ケルベロス認証 へ行く。
  • 1 (2015-08-21 (金) 11:42:56)
  • 2 (2015-08-23 (日) 14:43:36)
  • 3 (2016-01-26 (火) 18:38:26)
  • 4 (2017-01-04 (水) 15:41:18)
  • 5 (2017-03-27 (月) 10:43:23)
  • 6 (2017-04-16 (日) 16:13:07)
  • 7 (2017-04-28 (金) 19:09:13)
  • 8 (2017-12-27 (水) 11:39:54)
  • 9 (2018-02-14 (水) 20:29:03)
  • 10 (2018-05-30 (水) 10:16:14)
  • 11 (2018-10-09 (火) 22:17:26)
  • 12 (2019-09-11 (水) 09:49:44)
  • 13 (2019-09-13 (金) 20:52:06)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 認証基盤
  • Windows
    • ドメイン サービス (AD DS)

目次 †

概要 †

ケルベロス認証（Kerberos Authentication）

• クライアント・サーバ間のネットワーク認証方式の一つ。
• Active Directoryでドメイン アカウントを使用しシングルサインオンを提供する。
• MITのAthenaプロジェクトによって開発され、RFCで規定されている。
  • https://www.ietf.org/rfc/rfc1510.txt
  • https://www.ietf.org/rfc/rfc4120.txt
  • https://www.ietf.org/rfc/rfc4121.txt

詳細 †

KDC : Key Distribution Center †

• Active Directory（以下、ADと略す）のドメイン コントローラに同梱される。

• クライアント・サーバから見て第3者である
  KDCを介してユーザとホストが互いに相互認証する。

• 2者間認証は行わず、3者間認証を行う。

• KDCは
  • 認証と暗号化用の鍵の配布を鍵管理センタ。
  • 各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。
  • 下記の３つのサーバ機能を持っている。

AS : Authentication Server †

認証サーバー機能

• ユーザーからの認証を受け付ける。

TGS : Ticket Granting Server †

チケット交付サーバー機能

• 各サーバーを利用するためのチケットを発行する。

KDB : Kerberos Database Server †

ケルベロスDBサーバー機能

• 各ユーザの認証情報や、共通鍵などを保存する。
• 内部的にディレクトリ サービスなどが利用される。

用語 †

• Kerberosの用語
  http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html

TGT : Ticket Granting Ticket †

• チケット発行のための大もとのチケット。

• TGTは以下を含む。

• ASとユーザ間で共有する...
  • ASキー

• TGSとユーザ間で共有する...
  • TGSチケット
  • TGSキー

レルム : realm †

• ケルベロスで管理される範囲を
  示す（ADであればドメインのこと）。

• ≒全て大文字で記載されたドメイン名

プリンシパル : principals †

レルム内で管理されるユーザ、ホスト、サービス

• ユーザ プリンシパル
  
  • ユーザ名@レルム
  • ユーザ名/グループ名@レルム

• ホスト プリンシパル
  • ホスト名/FQDN名@レルム

• サービス プリンシパル（SPN）
  • サービス名/FQDN名@レルム

• Kerberosチケット交付サービスプリンシパル

シーケンス †

(1) ユーザー †

ドメイン アカウントをKDC-ASに送信する。

(2) KDC-AS †

• ドメイン アカウントを認証する。
• ユーザーに対してASキーで暗号化したTGTを発行する。

(3) ユーザー †

• TGTをASキーで復号化して、TGSキーとチケットを取得。

• TGSチケットに情報を付与してTGSキーで暗号化する。

• コレを用いて、KDCのTGSに対して
  証明書（チケットとセッション鍵）の発行を依頼する。

(4) KDC-TGS †

• TGSキーでTGSチケットを取り出す。

• ユーザーを認証し、KDBの共通鍵で暗号化された
  証明書（チケットとセッション鍵）を発行する。

(5) ユーザー †

• 証明書をKDBの共通鍵で復号化し証明書（チケットとセッション鍵）を取り出す。
• チケットにクライアント情報を付与し、認証チケットとする。
• 認証チケットをセッション鍵で暗号化して、アクセス先のサーバへ提出する。

(6) サーバー †

• 認証チケットをセッション鍵で復号化する。
• これを、更にKDBの共通鍵で復号化する。
• ユーザーを識別してアクセスを許可する。

複数ドメインを跨るSSO †

信頼関係 †

ドメイン間のフォレストの信頼関係を設定する必要がある。

• IBM Knowledge Center - 複数の Active Directory ドメインをまたがる Web クライアント用の Windows シングルサインオン
  https://www.ibm.com/support/knowledgecenter/ja/SSKTMJ_9.0.1/admin/conf_windowssinglesignonforwebclientsacrossmultipleac_t.html

FIM/MIM †

• FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
  異なるドメインで同じアカウントを使用して認証可能（ただし、OSSにならない）。

• クレームベース認証を使用するという手段も有効（こちらはSSOになる）。

参考 †

• Insider's Computer Dictionary [Kerberos] － ＠IT
  http://www.atmarkit.co.jp/icd/root/11/87736911.html

• 情報セキュリティ入門 - ケルベロス認証：ITpro
  http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/

• Kerberos 認証の概要
  https://technet.microsoft.com/ja-jp/library/Hh831553.aspx

3 Minutes Networking †

http://www5e.biglobe.ne.jp/%257eaji/3min/

• 補講第４回Kerberos(1) プリンシパルとレルム
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html
• 補講第５回Kerberos(2) 鍵配布センター
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html
• 補講第６回Kerberos(3) チケット
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html
• 補講第７回Kerberos(4) KDCセキュリティ
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html
• 補講第８回Kerberos(5) クロスレルム認証
  http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html

ベース クライアント セキュリティ モデル †

SPN †

委任 †

ドメイン アカウント †

---

Tags: :IT国際標準, :Windows, :認証基盤

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.034 sec.