検索
連載

Kerberos(ケルベロス)認証とは

Kerberosとは、ネットワーク上でユーザーの認証を行う方式の一つ。Kerberosが利用されている例として、MicrosoftのActive Directoryなどがある。

Share
Tweet
LINE
Hatena

 Kerberosとは、ネットワーク上でユーザーの認証を行う方式の一つ。Kerberosが利用されている例として、MicrosoftのActive Directoryなどがある。名前はギリシャ神話の「ケルベロス」に由来する。MITで開発されており、幾つかのバージョンが存在するが、現在はIETF(Internet Engineering Task Force)でも規格化されているバージョン5が主に利用されている。

 Kerberosは、クライアント/サーバ型の構成をとる。「チケット」と呼ばれるものを用いて、パスワードを送受信することなく安全に認証を行える。Kerberos管理下にあるネットワークを「レルム」と呼び、ユーザーIDやパスワードといった認証情報は「KDC(Key Distribution Center)」と呼ばれる認証サーバで一元管理される。各チケットも、ここが発行する。

 チケットには「各サーバ専用のチケット自体を得るためのチケット(TGT:Ticket Granting Ticket)」「各サーバ専用のチケット」の2種類があり、TGTはユーザーの鍵、各サーバ専用のチケットは各サーバの鍵で、それぞれ暗号化される。

 流れとしては、まずユーザーがKDCからTGTを受け取り、自身の鍵で復号する。その後、ユーザーがKDCへ、TGTと共に各サーバ専用のチケットを要求し、受け取ったチケットを各サーバに提示して認証するという形になる。このとき、各サーバは受け取ったチケットと自身の鍵を用いて認証を行うため、ユーザーはチケットを提示するだけで毎回認証情報を入力する必要がない。そのため、一種のシングルサインオン環境を構築できる。

 なお、Kerberosを利用する際はクライアント/サーバ間で時刻同期を行わなくてはならない。なりすまし攻撃を防ぐため、クライアントとサーバ間で一定以上時刻がずれていると認証が失敗するためである。

関連用語

なりすまし

■更新履歴

【2004/1/1】初版公開。

【2018/7/23】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る