- ベストアンサー
Kerberos認証とは?役割や仕組み、使われ方について
- Kerberos認証とは、Windows2000のドメイン環境でのログオン認証に利用されるセキュリティプロトコルです。推移的信頼関係でアクセス許可を受ける場合に使用され、ログオンからすべてのアクセスに関して必ず利用されます。
- Kerberos認証は仕組みの名前ではなく、プロトコルのような詳細が定められているセキュリティ技術です。プログラムコード自体が存在し、ライセンス供与されています。
- Kerberos認証はセキュリティの章などでよく言及されますが、具体的にはWindowsドメイン環境でのログオン認証に利用され、推移的信頼関係でアクセス許可を受ける場合に必ず使用されます。プロトコルとして詳細な仕様が定められており、プログラムコードが存在し、ライセンス供与されています。
- retr
- お礼率90% (27/30)
- Windows NT・2000
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。hirasakuです。 回答が遅れまして。再度回答します。 Win2kはNTと違いインターネットでのServerの役割をする可能性を考えて設計されています。NTまではローカルネットワークでのセキュリティでよかったのですが、2kはインターネットでのセキュリティを考えなくてはいけません。そこで、インターネットで使われているKerberosを採用しました。 Kerberosは秘密鍵暗号という暗号化による認証方式の一つですから暗号化によって認証とアクセス制御の情報が保護されるわけです。これが利点といえば利点でしょうか。というより、セキュリティを高めなければ不正なアクセスによってシステムを壊される可能性があるわけですから使うのが当たり前でしょう。 Win2kはServerを2つのモードで構築できます。一つはネイティブモード。もう一つは混在モードです。 ネイティブモードはクライアントに2kしか存在しない場合にするモードです。混在モードはクライアントに2k以外が存在する場合のモードです。混在モードにした場合、下位互換性を保てるように認証システムも互換性を持たせます。 NTの認証はNT LAN Managerという認証プロトコルを使っていました。2kを混在モードにした場合、Kerberosと、このNTLMが平行して実行されています。信頼関係を結ぶServerがNTであればNTLMを使用します。 いかがでしょうか。
その他の回答 (1)
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasakuです。 本を読まれて仕組みはわかっているようなので、疑問のところだけ回答します。 Win2kではセッションを通してログオン時に確立し、ユーザー認証とアクセス制御用で使用しています。 サービスまたはデーターベースへの認証はしていません。 あらゆるアクセスに関してKerberosを使用しているわけではありません。それはクライアントが9xもしくはNTの場合、Kerberosをサポートしていないからです。つまり、2k同士の場合のみKerberosが有効になります。(9x、NTの場合従来のユーザー名とパスワードでの認証) 信頼関係の場合も上記に当てはまります。2kでフォレスト間の信頼関係なら有効ですが、フォレストの相手がNTならKerberosを使用しません。 オプションで使うというより、2kがログオンしてきたクライアントのOSに対して自動的に認識して使い分けます。 Kerberos自体は認証サービスや関連するプロトコル、プログラムなどの総称です。しかし、プロトコルと認識していいと思います。 いかがでしょうか。
お礼
回答ありがとうございます。 OSによって自動的に使い分けているんですね。 ようやく分かって来ました。 ところで、9x、NTの場合従来のユーザー名とパスワードでの認証とありますが、2kでKerberos認証を使う利点はなんなのでしょう? また、Kerberos認証を使わない信頼関係の認証はどのように行われるのでしょうか? もしよろしければ、お教えください。よろしくおねがいします。
お礼
二度目の回答、ありがとうございます。 今までdcpromo.exeを実行して、最後に選択させられる、 「WIN2000以前のサーバと互換性のあるアクセス許可」というのがなんのことだか分からずにいたのですが、これがNTLMのことですね? 認証関係のしくみがいままであやふやだったのですが、ちょっと分かって来たような気がします。 本当にありがとうございました。質問してよかったです。