Kerberos認証でわからないこと

ドメインの認証方式のひとつであるKerberos認証。
Kerberos認証は、Windows認証方式の中で最も強固なもので、パスワードそのものを送信しないため、ネットワークを介して資格情報が盗まれるリスクが極めて低いという特徴があります。

このしくみでちょっとわからないことがあるのです。

ドメインにログオンすれば、TGTによってドメインにログオンしていることが保障され、ドメイン内のほかのコンピュータにアクセスするための認証は必要ありません。

ワークグループの場合は、ユーザ名に対するパスワードを格納するデータベースを個々のコンピュータで管理しているから、他のコンピュータにアクセスするときは、そのコンピュータで有効な資格情報を再び入力しなくてはいけないってことはわかるのです。

でも、Kerberos認証の場合、どのタイミングでコンピュータがドメインにログオンしていることが保証されるのかなぁ…TGTの流れをもう少し理解しないといけなそうです。
解決したらまた更新しますね。


Kerberos認証のしくみ

Alt text

①クライアントで資格情報(ユーザ名とPass)が入力されると、ユーザ名をドメインコントローラに送信する。
②ユーザ名を受信したドメコンは、ユーザがドメインにログオンしていることを示すTGT(Ticket Granting Ticket)(グランディングは承諾するの意味)と呼ばれるチケットを発行する。
③ユーザ名に対応するパスワードをデータベースから取り出し、TGTをパスワードを使って暗号化する。
④暗号化されたTGTをクライアントに送信する。
⑤ユーザは受信したTGTを自分が入力したパスワードを使って暗号を解除する。この時正しいパスワードを入力していれば、暗号化を解除し、TGTをとりだすことができる。

※TGTは時刻にずれがないことが前提で、サーバとクライアントで5分以上のずれがあると失敗する。

4 thoughts on “Kerberos認証でわからないこと

    • 参考URLありがとうございました!ここ詳しくてわかりやすいですね(^o^)読んでたら、うんうん、そうだよなぁ。。。って自分が悩んでたところがわからなくなってきました(笑

  1. スマホテンプレ変わったねー。
    でもコメント投稿後のテンプレ崩れが惜しい!笑
    (嫌なおっさんだな…)

    • どうしてもスマホだと崩れるのですね(>_<)コメント投稿後のチェックはしてませんでした~!ありがとうございます(^o^)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>