認証サーバーとは
- ユーザーIDとかパスワードとかで認証をするサーバー
- 複雑なシステムでは、認証サーバーに認証処理を集中させる
RADIUS
- アクセス可能ポイントのサーバーと認証サーバー(RADIUSサーバー)を分ける仕組み
- 外から直接認証サーバーにアクセスされてクラックされることを防ぐ
Kerberos
- レルムという概念を導入した認証モデル
レルム
- 認証システムに参加するクライアントおよびサーバーの鍵をKDC(鍵発行局)に登録しておく
- KDCが管理する書くノード(プリンシパル)の集合を「レルム」と呼ぶ
(図: http://www.infraexpert.com/study/security18.html)
- KDCは以下の3つから構成されています
- AS(認証サーバー)
- TGS(チケット発行サーバー)
- KDB(鍵データベース)
Kerberosの認証プロセス
- プリンシパルがAS(認証サーバー)にチケットを要求
- ASはKDB(鍵データベース)を検索し、登録されたプリンシパルなら共通鍵で暗号化したチケットを返信
- プリンシパルはチケットをTGSに送信
- TGSはサーバー使用許可証とサーバー通信に使う共通鍵を返信
- 認証完了。サーバー通信開始
メモ
- ActiveDirectory とかは Kerberos ?