Tweet

Kerberos

【ケルベロス】

　マサチューセッツ工科大学（MIT）のアテナ・プロジェクト（Athena project）の中で開発されたユーザー認証システム。データの盗聴やなりすましが容易に行えるインターネット環境において、ユーザーを安全かつ効率的に認証することを目的として開発された。

　Kerberos認証システムでは、ネットワーク内にKDC（Key Distribution Center）と呼ばれる信頼できるサイトを配置し、このサイトでユーザーのログオンと各種ネットワーク・リソース利用という2段階のフェーズで認証を行う。

　まずKerberosクライアントは、正しいユーザー名とパスワードをKDCに与え、自身が正規のユーザーであることを認証してもらう。この際KDCからクライアントへは、クレデンシャル（credential：信用証明書）と呼ばれるデータが与えられる。このクレデンシャルを取得することで、クライアントは、正しいネットワーク・ユーザーであることが認証されたことになる。

　次にクライアントは、利用したいネットワーク・リソースの情報（共有ディレクトリや共有プリンタなど）と取得したクレデンシャルをセットにして、再度KDCに問い合わせを行う。そしてユーザーが、要求されたリソースへのアクセス権限を持つ場合には、そのリソースへのアクセス・チケットが与えられる。こうして入手したアクセス・チケットを利用したいネットワーク・リソース側に送り、自身が正規のネットワーク・ユーザーで、そのリソースへのアクセス権限を持つことを通知し、リソースの使用許可を求め、利用を開始する。このアクセス・チケットのやり取りは、共有鍵暗号方式によって暗号化されており、安全性が保証されている。

　Windows 2000 Serverには、Kerberos認証機能が標準で実装されており、ドメイン・コントローラがKDCとして機能し、ネットワーク内での認証処理をKerberosベースで行えるようにしている。

Copyright (C) 2000-2007 Digital Advantage Corp.