13章ネットワーク認証
前章で解説した対話型認証は、ユーザーによるコンピューターへのログオンとデスクトップの操作を可能とします。対話型認証とは対照的に、Windowsシステムに認証されたユーザーが別のWindowsシステム上のリソースを使いたい場合、ネットワーク認証(Network Authentication)が発生します。
ネットワーク認証が発生する最も単純な状況は、ユーザーの資格情報をリモートシステムに転送する場合です。資格情報を受け取ったサービスはログオンの種類をNetworkに設定してLsaLogonUser APIを呼び出し、非対話的なログオンセッションを作成できます。しかし、この方法はあまり安全ではありません。LsaLogonUser APIの実行には、ネットワークに公開されているサービスに対して、ユーザーの完全な資格情報が提供されている必要があります。リモートシステムに資格情報を転送するのは様々な問題があります。例えば、攻撃者が潜伏している可能性があるネットワーク上で認証が発生する場合、攻撃者が通信の盗聴により資格情報を入手してしまう可能性があります。
セキュリティ的な問題を軽減するために、Windowsは複数のネットワーク認証プロトコルを実装しています。これらのプロトコルの使用により、ネットワークサービスへの資格情報の送信や、平文パスワードの転送などをせずに認証できます(もちろん注意点は常に存在するので、この章で後ほど解説します)。これらのネットワーク認証プロトコルは前章で解説したセキュリティパッケージ内に実装されており、汎用的なAPIを介して利用できます。APIの活用により、アプリケーションは使用する認証プロトコルを簡単に変更できます。
この章ではまず、現在も用いられておりWindowsの認証プロトコルの中でも最も古い、 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access