ケルベロス認証 のバックアップソース(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• ケルベロス認証 へ行く。
  • 1 (2015-08-21 (金) 11:42:56)
  • 2 (2015-08-23 (日) 14:43:36)
  • 3 (2016-01-26 (火) 18:38:26)
  • 4 (2017-01-04 (水) 15:41:18)
  • 5 (2017-03-27 (月) 10:43:23)
  • 6 (2017-04-16 (日) 16:13:07)
  • 7 (2017-04-28 (金) 19:09:13)
  • 8 (2017-12-27 (水) 11:39:54)
  • 9 (2018-02-14 (水) 20:29:03)
  • 10 (2018-05-30 (水) 10:16:14)
  • 11 (2018-10-09 (火) 22:17:26)
  • 12 (2019-09-11 (水) 09:49:44)
  • 13 (2019-09-13 (金) 20:52:06)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[Windows]]
--[[認証基盤]]

* 目次 [#j2fa2c16]
#contents

*概要 [#c60041d0]
-クライアント・サーバ間のネットワーク認証方式の一つ。
-[[Active Directory>ドメイン サービス (AD DS)]]で[[ドメイン アカウント]]を使用しシングルサインオンを提供する。
-MITのAthenaプロジェクトによって開発され、RFCで規定されている。
--https://www.ietf.org/rfc/rfc1510.txt
--https://www.ietf.org/rfc/rfc4120.txt
--https://www.ietf.org/rfc/rfc4121.txt

*役割 [#eb4f2bd3]
[[Active Directory（以下、ADと略す）のドメイン コントローラ>ドメイン サービス (AD DS)]]に同梱される。

**KDC [#i78d6009]
KDC : Key Distribution Center

-クライアント・サーバから見て第3者である~
KDC を介してユーザとホストが互いに相互認証する。

-認証と暗号化用の鍵の配布を鍵管理センタ。
-KDC は各参加者とそれぞれ秘密の鍵(暗号鍵)を共有する。

***AS [#mddcff1d]
AS : Authentication Server

ユーザーからの認証を受け付ける。

余談だが、OAuthは、Authorization Server、~
ケルベロスは、Authentication Serverで、~
上記は、スペルミスでは無い。

***TGS [#acc79914]
TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

*用語 [#oa6b15f9]

-Kerberosの用語~
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-kerberos-terminology.html

**TGT [#s7252b21]
TGT : Ticket Granting Ticket

チケット発行のための大もとのチケット。

**TGS [#facebb7b]
TGS : Ticket Granting Server

各サーバーを利用するためのチケットを発行する。

**レルム [#d6d9d3fc]
レルム : realm

-ケルベロスで管理される範囲を示す（ADであればドメインのこと）。
-≒全て大文字で記載されたドメイン名

**プリンシパル [#u0205178]
プリンシパル : principals

レルム内で管理されるユーザ、ホスト、サービス
-ユーザ プリンシパル~
--ユーザ名@レルム
--ユーザ名/グループ名@レルム

-ホスト プリンシパル
--ホスト名/FQDN名@レルム

-サービス プリンシパル（[[SPN]]）
--サービス名/FQDN名@レルム

-Kerberosチケット交付サービスプリンシパル

*シーケンス [#reea59d4]
-ユーザー~
[[ドメイン アカウント]]をKDC-ASに送信する。

-KDC-AS~
--[[ドメイン アカウント]]を認証する。
--ユーザーに対してTGTを発行する。

-ユーザー~
TGTを使用して、KDCのTGSに対してアクセスするサーバーへのチケット発行を依頼する。

-KDC-TGS~
ユーザーに対して暗号化された証明書を発行する。

-ユーザー~
--証明書を復号化しチケットとセッション鍵を取り出す。
--アクセス先のサーバーへチケットを提出する。

-サーバー~
--チケットを復号化しユーザー情報とセッション鍵を取り出す。
--ユーザーを認識し、そのユーザーに合ったアクセスを許可する。

*参考 [#bb851493]
-Insider's Computer Dictionary [Kerberos] － ＠IT~
http://www.atmarkit.co.jp/icd/root/11/87736911.html

-情報セキュリティ入門 - ケルベロス認証：ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/

-Kerberos 認証の概要~
https://technet.microsoft.com/ja-jp/library/Hh831553.aspx

-3 Minutes Networking~
http://www5e.biglobe.ne.jp/%257eaji/3min/
--補講第４回Kerberos(1) プリンシパルとレルム~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup04.html
--補講第５回Kerberos(2) 鍵配布センター~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup05.html
--補講第６回Kerberos(3) チケット~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup06.html
--補講第７回Kerberos(4) KDCセキュリティ~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup07.html
--補講第８回Kerberos(5) クロスレルム認証~
http://www5e.biglobe.ne.jp/%257eaji/3min/ex/sup08.html

----
Tags: [[:Windows]], [[:認証基盤]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.005 sec.