14章Kerberos
ドメインコントローラーに登録されたユーザーを認証する主要なプロトコルとして、Windows 2000ではNetlogonの代わりにKerberosが導入されました。この章では12章での対話型ドメイン認証の説明を基に、KerberosがどのようにユーザーをWindowsドメインに認証しているかについて解説します。
まずは、プロトコルで用いられる暗号鍵の生成方法やKerberos認証トークンの復号方法などの、Kerberosの基本的な仕組みから見ていきます。プロトコルの内部構造が理解できたら、認証の委任とユーザー間認証プロトコルにおけるKerberosの役割について説明します。
Kerberosは1980年代にMIT(Massachusetts Institute of Technology:マサチューセッツ工科大学)で開発され、1993年にRFC1510で標準化されました。Microsoftが用いているKerberosは、2005年にRFC4120で更新されたバージョン5のプロトコルです。独自の要件を達成するために、Microsoftはこのプロトコルにいくつかの変更を加えています。この章では、これらの変更点のいくつかを紹介します。
14.1 Kerberosでの対話型認証
Kerberosでは、ユーザーの識別情報を表すチケット(Ticket)を配布します。システムはチケットを用いて、ユーザーがファイルサーバーなどのサービスにアクセスできるかどうかを判断できます。例えばユーザーがファイルを開くリクエストでチケットを送信すると、ファイルサーバーはその有効性を検証し、アクセス検証のような処理によりユーザーにアクセスを許可するかどうかを決定します。
また、Kerberosはチケットを信頼できないネットワーク上でも安全に配布し、チケットを検証するための手段を提供します。チケットの暗号化と検証には、一般的にはユーザーのパスワードに由来する共有暗号鍵を用います。Active ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access