「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
役割 †
Active Directory(以下、ADと略す)のドメイン コントローラに同梱される。
KDC †
KDC : Key Distribution Center
- クライアント・サーバから見て第3者である
KDC を介してユーザとホストが互いに相互認証する。
- 認証と暗号化用の鍵の配布を鍵管理センタ。
- KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。
AS †
AS : Authentication Server
ユーザーからの認証を受け付ける。
余談だが、OAuthは、Authorization Server、
ケルベロスは、Authentication Serverで、
上記は、スペルミスでは無い。
TGS †
TGS : Ticket Granting Server
各サーバーを利用するためのチケットを発行する。
用語 †
TGT †
TGT : Ticket Granting Ticket
チケット発行のための大もとのチケット。
TGS †
TGS : Ticket Granting Server
各サーバーを利用するためのチケットを発行する。
レルム †
レルム : realm
- ケルベロスで管理される範囲を示す(ADであればドメインのこと)。
- ≒全て大文字で記載されたドメイン名
プリンシパル †
プリンシパル : principals
レルム内で管理されるユーザ、ホスト、サービス
シーケンス †
- ユーザー
TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。
- KDC-TGS
ユーザーに対して暗号化された証明書を発行する。
- ユーザー
- 証明書を復号化しチケットとセッション鍵を取り出す。
- アクセス先のサーバーへチケットを提出する。
- サーバー
- チケットを復号化しユーザー情報とセッション鍵を取り出す。
- ユーザーを認識し、そのユーザーに合ったアクセスを許可する。
ドメイン間のフォレストの信頼関係を設定する必要がある。
- FIM/MIMなどの統合ID管理ソリューションの、プロビジョニング機能を使用して、
異なるドメインで同じアカウントを使用して認証可能(ただし、OSSにならない)。
参考 †
3 Minutes Networking †
http://www5e.biglobe.ne.jp/%257eaji/3min/
Tags: :Windows, :認証基盤