LoginSignup
21
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@kunihiros

ケルベロス認証について勉強してみた

Last updated at Posted at 2020-07-21

先輩「この間の件、ケルベロスが必要だって言われてましたねー」
私 「!??」

朝一番にそんなこと言われて「えっと、わかりません」と答えた GW 明け、皆さんいかがお過ごしでしょうか?
私は先輩の苦笑を GET したので必死で勉強しております。
きっかけがあると、自分が無知なことがわかっていいですね。精進します。

ケルベロスと出会った経緯

GW 前に、ようやく検証用のサーバーを用意してもらえました!
本当にありがとう!감사합니다!

なぜ韓国語かって?
用意してもらったサービスが NaverCloud だからです。
日本では全然馴染みのない NaverCloud は、ドキュメントも UI もすべて韓国語 or 英語 Death.

まぁでも、なんとかなるだろ!って思ってログインして create server したらいきなり目の前に立ちはだかってくれたのが、ケルベロスちゃんなのです。
kerberos.png
(注:イメージです)

Kerberos ID of the employee does not exist.

「従業員の Kerberos ID が存在しません。」
まぁ、つまり私のアカウントでは使えない、と。
この時点では調べもしなかった Kerberos ちゃん。
スクショ撮って先輩に「ID 発行申請お願いしまーす」ってトークした私。

そして悲劇は GW 明けに起きました。
わからないことには興味を持って接しましょうという教訓ですね。頑張ります。

ケルベロス認証とは

さて、本題。
ケルベロス認証のポイントはこんな感じ。

  • アカウントを認証する方法の一つ。
  • 認証されると、チケット(身分証明書のようなもの)が発行される。
  • チケットがあれば他のサービスを利用できる(つまりはシングルサインオン)

主に、シングルサインオンを実装するときに使うようです。
シングルサインオンの認証としてケルベロス認証を使用するメリットとしては、セキュリティ面が挙げられます。
他のサービスを利用する際にチケットで認証するので、ID とパスワードの漏洩を防ぐことができます。

また、チケットの盗聴によるなりすましを防ぐために、時刻同期の仕組みが用意されています。
NTP (Network Time Protocol) を使用して、チケット発行側の時計とチケット利用側の時計の時刻が同じになるようにしておけば、チケットのなりすましも防ぐことができます。

つまりは身分証明書のようなもの

ファンタジーな世界観で認識すると、こんな感じだと思います。

長旅から帰ってきた私。
王国に入るために城門で身分証明書を発行してもらう。

私 「ただいま帰りました。」
役人「(顔を確認して)おお、おかえりなさい。お久しぶりですね」
私 「ようやく帰れました。しばしの休息です。さっそくで悪いのですが。身分証明書を発行してもらえますか?」
役人「早く宿で休みたいですよね。すぐに発行しますよ。では、合言葉をお願いします」
私 「『夢に楽土求めたり』」
役人「OK です。・・・できましたよ。こちらをどうぞ」
私 「ありがとう。(身分証明書を受け取る)ところで、王立図書館で調べ物をしたいのだが・・・」
役人「それでしたら、隣の受付で入館証を発行してもらってください」
私 「ありがとう」

受付へと移動する。

私 「王立図書館の入館証を発行してください」
受付「では、身分証明書を確認しますね。(身分証明書を確認)はい、OK です。では、こちらをどうぞ」
私 「ありがとう。(入館証を受け取る)」

王国内へ入り、王立図書館へ向かう。

門番「王立図書館へようこそ。入館証をご提示いただけますか?(入館証を確認)はい、OK です。どうぞお通りください」

こうして私は、思う存分、本を読みふけるのであった。~ Fin ~

合言葉は一度だけ

合言葉を言うのは、城門で身分証明書を発行する一度きりです。
その後、王立図書館だろうが騎士団宿舎だろうが、入館証が必要な場合は身分証明書を提示すれば入館証を発行できます。
合言葉を知るのは本人と城門の役人のみ。
情報を知る箇所が少なければ漏れるリスクも減り、万が一漏れた場合でも調査個所が少なくなります。
つまり、万が一には役人を締め上げればいいわけですね(^^)

あとは、身分証明書や入館証の偽造ですが、これは魔法(時刻同期)を使って管理すれば偽造は容易にはできません。
なんと強固な認証機能なんでしょう!魔法ってステキ!!(´▽`)

おわりに

Q. ケルベロス認証ってなーに?
A. 最初は ID とパスワードで認証するけど、次からは発行されたチケットを使って行う認証のやり方

いやー、知らないことがまだまだたくさんあります。
もっと勉強しないとですね。
ここまで読んでいただき、ありがとうございました!
ではまた!(^^)/

参考にさせていただきましたm(_ _)m

聞いたことがある認証について調べてみた
kerberos認証(「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典)
Kerberos Authentication(ネットワークエンジニアとして)
ケルベロス認証(Wikipedia)
【 Network Time Protocol 】 ネットワークタイムプロトコル(IT用語辞典 e-Words)

21
9
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
21
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?