Kerberos 認証および WS-Security の概念について学習します。
概念
- Kerberos 構成ファイル
- 構成ファイルには、認証とアクセスのための重要な情報が含まれます。
構成ファイルには、鍵配布センター (KDC) のレルムと場所、サポートされている暗号化タイプ、およびキータブ・ファイルの場所が格納されます。
クライアントはこの構成ファイルを使用して KDC での認証を行い、ネットワーク・サービスへのアクセスを要求します。
また、Kerberos で保護されたサービスは、この構成ファイルを使用して、それに関連付けられている秘密鍵を格納するキータブ・ファイルを見つけます。
- Kerberos キータブ・ファイル
- キータブ・ファイルには、プリンシパルと、プリンシパルに関連付けられている暗号化された秘密鍵が格納されます。
キータブ・ファイルは、KDC からプリンシパルをエクスポートして作成します。
キータブ・ファイルを使用することで、サービスは、クライアントの認証性を検査し、KDC に接続せずに認証を行うことができます。
- 鍵配布センター (KDC)
- 鍵配布センターには、ユーザーに加え、サービスのプリンシパルとそこに関連付けられている鍵が保管されます。
ユーザー名とパスワード、またはサービス名とパスワードのいずれかの組み合わせを鍵として使用します。
KDC は、認証サーバーと、チケットを認可するサーバーの役割も果たします。
- プリンシパル
- ネットワーク・ユーザーとサービスはプリンシパルと呼ばれます。これらは鍵配布センター (KDC) での認証を行います。
- レルム
- KDC によって提供される固有の制御範囲。原則として、レルムは大文字に変換される DNS ドメイン・ネームです。
- サービス・プリンシパル名 (SPN)
- サービス・プリンシパル名は、固有のネットワーク・サービスを表します。
クライアントは、Kerberos で保護されたサービスを使用する場合、KDC での認証を行い、サービスの SPN を提供する必要があります。
チケット・サーバーがクライアントにチケットを提供することにより、クライアント自身がサービスに対して認証できるようになります。