Kerberos認証とは
ユーザーがシステムやサービスにアクセスする際に、身元確認に使われるセキュリティプロトコルのこと。
シングルサインオン(SSO)で使われる。
仕組み
登場人物
・認証サーバー(Authentication Server、略してAS)
ユーザーが入力したIDとパスワードを検証して認証を行う。
倒すとTGTをくれる。
・Ticket Granting Ticket(TGT)
正しいユーザであることを証明するために必要なチケット。パスポート的なやつ。
こいつさえ盗んじゃえば、正規のユーザーになりすませるやべえシロモノ。
別名ゴールデンチケット。
・チケット授与サーバー(Ticket Granting Server、略してTGS)
TGTで頬をひっぱたけば大人しくSTくれる良い人。
・Service Ticket(ST)
ファイルサーバーやらLDAPサーバーやらのサービスを利用するために必要なチケット。
TGTをテーマパークの入場券とするなら、STはアトラクション利用券的なやつ。
別名シルバーチケット。
・鍵配布センター(Key Distribution Center、略してKDC)
AS、TGS、各ユーザの認証情報や共通鍵などを保存するKerberos Database Server(KDB)が入っている。
流れ
認証サーバー(AS)「お前誰や」
ユーザー「ワイや」
認証サーバー(AS)「そうか、何か証明できるもの持っとるか?」
ユーザー「ほい、パスワード」
認証サーバー(AS)「本物か、これやるわ」つTGT
ユーザー「あざす」
・
・
・
ユーザー「OOというサービス使いたいんやが」
チケット授与サーバー(TGS)「は?お前誰や?」
ユーザー「こういうモンや」つTGT
チケット授与サーバー(TGS)「ホンモノかこれ?偽造はアカンでぇ?」
チケット授与サーバー(TGS)「ホンモノやんけ・・・これどうぞ」つST
ユーザー「おう、分かればええんや、分かれば」
・
・
・
ユーザー「おう、使わせろや」
ファイルサーバー「あ?誰やお前?」
ユーザー「ほい」つST
ファイルサーバー「大変申し訳ございません、どうぞ」
まとめ
TGTさいつよ。