ケルベロス認証

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

ケルベロス認証(ケルベロスにんしょう、Kerberos - )は、ネットワーク認証方式の一つ[1]シングルサインオンシステムを提供する[1]。ケルベロス認証は1989年から世間で使われ始めた[1]

Kerberos
最新版 krb5-1.14.2 / 2016年4月18日(7か月前) (2016-04-18
公式サイト web.mit.edu/kerberos/
テンプレートを表示

ケルベロス認証は、X Window Systemの開発で知られるマサチューセッツ工科大学 (MIT)の「Athena」プロジェクトによって開発され、現在もMITで保守されている。その仕様はRFC 4120で標準化されている。

マイクロソフトActive Directoryでの推奨の認証機構となっている[1]。また、Mac OS Xでも採用されている。

名称はギリシャ神話おける地獄の番犬ケルベロスに由来し[2]、日本ではギリシア語読みにならって「ケルベロス」とするが、英語では[ˈkərbərɒs](「カーバラス」に近い発音[3])となる 。

プロトコル概要[編集]

Kerberos サーバーを運用したい組織は、独自の 「レルム」を構築する。レルムに属するマシンやサービスはプリンシパルと呼ばれる。レルムにはKDC(key distribution center、直訳:鍵配送センター)と呼ばれる権限者が存在する。KDCはAS(Authentication Server、直訳:認証サーバ)というサーバとTGS(Ticket Granting Server、意訳:チケット発行許諾サーバ)というサーバがある。

ユーザがレルムにログインする際には、まず自身の持つクライアント端末からID/パスワードなどで認証を受け、認証が受理されたらクライアント端末はこのパスワードを利用して秘密鍵Kを生成する。クライアントはユーザのIDを平文でASに送り、ASはユーザのIDを自身のデータベースに問い合わせる事でユーザの秘密鍵Kを得る。

次にASはTGT(ticket-granting ticket、意訳:チケット発行許諾チケット)と、クライアント/TGSセッション鍵とをKで共通鍵暗号化してクライアント端末に送る。TGTはユーザがTGSから「チケット」というデータを受け取るための、いわば大本となるチケットであり、クライアント/TGSセッション鍵はTGSからチケットを受け取る際に用いるセッション鍵である。ASはTGSにもTGTとクライアント/TGSセッション鍵とを渡しておく。なお共通鍵暗号としては(バージョン4においては56bitDES暗号)を用いる。

その後ユーザがレルム内にあるプリンシパルAが提供しているサービスを利用したくなったら、ユーザのクライアント端末はTGTをAのサービスを使いたい旨とともにTGSに送る。この際の通信はクライアント/TGSセッション鍵で共通鍵暗号化しておく。TGTはTGSの正当性を確認し、チケットという、Aのサービスを利用する許可証をクライアント端末に送り、さらにAとの通信で用いるセッション鍵もクライアント端末に送る。

チケットに記載された有効期限内にチケットを(セッション鍵で暗号化して)プリンシパルAに送れば、クライアント端末はAの提供するサービスを利用できる。

以上のようにKerberosでは、ユーザがID/パスワードを使うのは最初にASから認証を受ける時だけ、以後はTGTを使って(TGSから)認証を受ける。このようにID/パスワードの利用を最小限に抑える事で、Kerberosではパスワードの漏洩を防いでいる。

またクライアント端末がプリンシパルAのサービスを使うためにAから認証を受ける際には、ASから受け取ったTGTを直接プリンシパルAに送信する事はしていない。その代わりに一旦権限者であるTGSにTGTを送ることで認証を受けてから、Aへのアクセスのみに利用できるチケットを発行してもらい、このチケットをAに送信する事でAの認証を受け、サービスを利用する。このような方法を取るのは、TGTを直接Aに送ってしまうと、AがTGTを使ってユーザになりすまして別のプリンシパルBのサービスを利用する事ができてしまうからである。

歴史[編集]

1980年代マサチューセッツ工科大学 (MIT) にて研究プロジェクトとして始まった[4]。MITのAthenaプロジェクトでは開始当初からクライアントサーバモデルを想定して設計されており、そのネットワーク認証のためにKerberosプロトコルが開発された[5]。この認証システムは、経路上での盗聴を防ぐために、認証サーバとその他のコンピュータとの間の認証のやりとりを暗号化している[5]

Kerberosバージョン3まではテストのために開発され、MIT内部でのみ使われた[6]。そして、1989年1月24日に初めてMIT外部にKerberosバージョン4として公開される[6]。Kerberosはいくつかのベンダーに採用されることとなった[6]

Kerberosバージョン4はDESを用いていたため、アメリカ政府の暗号化ソフトウェアに対する輸出規制に引っかかり、アメリカ国外の組織はMITから合法的にソフトウェアをダウンロードすることはできなかった[7]。そのため、MITの開発チームは、Kerberosのソフトウェアから暗号化のコードをすべて取り除き、骨格だけにした「Bones」を作成した[8]オーストラリアのエリック・ヤングがこのBonesに独自のDES実装を追加した「eBones」を開発したことで、アメリカ国外でも合法的にKerberosバージョン4を使うことができるようになった[8]

その後、Kerberosバージョン4に機能を追加し、セキュリティの強化を行ったバージョン5が開発される[8]。Kerberosバージョン5のプロトコルはRFC 1510で文書化されている[8]


関連項目[編集]

脚注[編集]

[ヘルプ]

出典[編集]

  1. ^ a b c d Jason Garman 「はじめに」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、vii。ISBN 4-87311-186-2
  2. ^ Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、2ページ。ISBN 4-87311-186-2
  3. ^ e-words IT用語辞典 Kerberos 【 ケルベロス 】
  4. ^ Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、3ページ。ISBN 4-87311-186-2
  5. ^ a b Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、5ページ。ISBN 4-87311-186-2
  6. ^ a b c Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、7ページ。ISBN 4-87311-186-2
  7. ^ Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、7、8ページ。ISBN 4-87311-186-2
  8. ^ a b c d Jason Garman 「第1章 イントロダクション」『Kerberos』 訳: 桑村潤、我妻佳子、オライリー・ジャパン、2004年5月28日、初版第1刷、8ページ。ISBN 4-87311-186-2

外部リンク[編集]