note2self

Active Directory環境で用いられるユーザの認証方式である「Kerberos認証」について整理します。

■Kerberos認証とは

Active Directory環境で用いられる認証方式で、シングルサインオンをサポートします。登場人物・実体は3種類に分類されます。認証を要求するユーザ、認証を行うドメインコントローラ、認証した結果、サービスを提供するファイルサーバなどです。

役割を総称で表現すると下記のようになります。

• KDC　・・・　ActiveDirectory環境ではドメインコントローラが該当し、実際の認証を行い、「チケット」を発行する
• サービスプリンシパル　・・・ サービスを提供するファイルサーバなど
• ユーザプリンシパル　・・・　サービスを受ける主体であるユーザなど

■Kerberos認証チケットについて

Kerberos認証において、KDCが発行するチケットは2種類あります。またこのチケットは時刻同期の仕組みを用いて安全性を高めています。具体的にはチケットを受け取った側がチケットのタイムスタンプと自身のシステムの時刻が5分以上ずれているとチケットは無効として扱われるようです。