MicrosoftのActive Directoryサービスを活用されている法人のユーザさんはとても多い。
Active Directoryは管理手法が非常に効率的でセキュリティにも強い特徴を持っている。
このActive Directoryではユーザがネットワークにログインする際の認証として、Kerberos認証が認証プロトコルとして採用されている。
では、このKerberos認証とはどういうものなのか。今回の投稿ではKerberos認証について触れていく。
Kerberos認証に必要なデバイス
- クライアントホスト:リソースにアクセスしたいユーザ
- ドメインコントローラ:後述する
- ターゲットサーバ:リソースのホストとなるサーバ(例:ファイルサーバ、アプリケーションサーバ)
Kerberos認証の仕組み
Kerberos認証の特徴として、まず先に挙げられるのがチケットベースによる認証だ。
クライアントから認証リクエストを受け取るホストとして、ドメインコントローラと呼ばれるものを用意する。
このドメインコントローラによって認証とチケット発行が行なわれる。
まずユーザがログインを試みる際、クライアントホストからドメインコントローラへ認証のリクエストが飛ばされる。
そのリクエストにはユーザのIDとパスワードが含まれており、ドメインコントローラはそれらの情報と資格情報を照らし合わせて確認を行なう。
照合が認められれば初期チケットが発行される。
発行された初期チケットはドメインコントローラからクライアントホストへレスポンスという形で送信される。
クライアントホストは初期チケットをメモリ内にキャッシュさせる。そこからアクセスしたいターゲットサーバがあればクライアントからドメインコントローラへ当該サービスチケットをリクエストして、ドメインコントローラはそのサービスチケットをクライアントへ返す。
そうしてクライアントはアクセスしたターゲットサーバに返却されたサービスチケットを提示してアクセスが可能になる。
シングルサインオンの採用
一見すると、ユーザ側のアクションとしてはたった一度のログインで権限のある全てのターゲットサーバへのアクセスが可能なように見えるのだが、実際はアクセスのたびに認証によるサービスチケットが発行されてからのアクセス許可となっている。
この一度のログインで複数のサービスへのアクセスができる機能をシングルサインオンという。
サービスへのアクセスの度にいちいち認証のためのパスワード入力は億劫なのでユーザ目線としても嬉しい機能でサービス側もセキュリティ上の強化が果たせるため、利便性のあるものとなっている。
ひとりごと
Amazon Prime Videoで配信されている恋愛リアリティ番組、バチェラー・ジャパン シーズン6を妻と二人でああだこうだ言いながら鑑賞している。
1日1エピソード、というルールを決めて現在はep.5を見終えたところ。あんなにいた女性陣が徐々に数人に絞り込まれている。
もう自分は恋愛市場から卒業できた人だから、かなりリラックスしてこの手のエンタメを堪能できている。
出演者は恋人探しとは別にもっと大きな野望を持ってこの企画に参加しているわけだから、プロレスじゃないけど、そのあたりはちゃんと割り引かないとケチばかりつけちゃうから要注意だ。