「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Windows]] --[[認証基盤]] * 目次 [#j2fa2c16] #contents *概要 [#c60041d0] -クライアント・サーバ間のネットワーク認証方式の一つ。 -[[Active Directory>ドメイン サービス (AD DS)]]で[[ドメイン アカウント]]を使用しシングルサインオンを提供する。 -MITのAthenaプロジェクトによって開発され、RFCで規定されている。 --https://www.ietf.org/rfc/rfc1510.txt --https://www.ietf.org/rfc/rfc4120.txt --https://www.ietf.org/rfc/rfc4121.txt *役割 [#eb4f2bd3] **KDC [#i78d6009] KDC : Key Distribution Center -クライアント・サーバから見て第3者である~ KDC を介してユーザとホストが互いに相互認証する。 -認証と暗号化用の鍵の配布を鍵管理センタ。 -KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。 ***AS [#mddcff1d] AS : Authentication Server ユーザーからの認証を受け付ける。 ***TGS [#acc79914] TGS : Ticket Granting Server 各サーバーを利用するためのチケットを発行する。 *用語 [#oa6b15f9] -Kerberosの用語~ http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html **TGT [#s7252b21] TGT : Ticket Granting Ticket チケット発行のための大もとのチケット。 **TGS [#facebb7b] TGS : Ticket Granting Server 各サーバーを利用するためのチケットを発行する。 **レルム [#d6d9d3fc] レルム : realm -ケルベロスで管理される範囲を示す(ADであればドメインのこと)。 -≒全て大文字で記載されたドメイン名 **プリンシパル [#u0205178] プリンシパル : principals レルム内で管理されるユーザ、ホスト、サービス -ユーザ プリンシパル~ --ユーザ名@レルム --ユーザ名/グループ名@レルム -ホスト プリンシパル --ホスト名/FQDN名@レルム -サービス プリンシパル([[SPN]]) --サービス名/FQDN名@レルム -Kerberosチケット交付サービスプリンシパル *シーケンス [#reea59d4] -ユーザー~ [[ドメイン アカウント]]をKDC-ASに送信する。 -KDC-AS~ --[[ドメイン アカウント]]を認証する。 --ユーザーに対してTGTを発行する。 -ユーザー~ TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。 -KDC-TGS~ ユーザーに対して暗号化された証明書を発行する。 -ユーザー~ --証明書を復号化しチケットとセッション鍵を取り出す。 --アクセス先のサーバーへチケットを提出する。 -サーバー~ --チケットを復号化しユーザー情報とセッション鍵を取り出す。 --ユーザーを認識し、そのユーザーに合ったアクセスを許可する。 *参考 [#bb851493] -情報セキュリティ入門 - ケルベロス認証:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/ -Kerberos 認証の概要~ https://technet.microsoft.com/ja-jp/library/Hh831553.aspx -3 Minutes Networking~ http://www5e.biglobe.ne.jp/%257eaji/3min/ --補講第4回Kerberos(1) プリンシパルとレルム~ http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html --補講第5回Kerberos(2) 鍵配布センター~ http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html --補講第6回Kerberos(3) チケット~ http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html --補講第7回Kerberos(4) KDCセキュリティ~ http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html --補講第8回Kerberos(5) クロスレルム認証~ http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html ---- Tags: [[:Windows]], [[:認証基盤]]