Kerberos
【ケルベロス】
マサチューセッツ工科大学(MIT)のアテナ・プロジェクト(Athena project)の中で開発されたユーザー認証システム。データの盗聴やなりすましが容易に行えるインターネット環境において、ユーザーを安全かつ効率的に認証することを目的として開発された。
Kerberos認証システムでは、ネットワーク内にKDC(Key Distribution Center)と呼ばれる信頼できるサイトを配置し、このサイトでユーザーのログオンと各種ネットワーク・リソース利用という2段階のフェーズで認証を行う。
まずKerberosクライアントは、正しいユーザー名とパスワードをKDCに与え、自身が正規のユーザーであることを認証してもらう。この際KDCからクライアントへは、クレデンシャル(credential:信用証明書)と呼ばれるデータが与えられる。このクレデンシャルを取得することで、クライアントは、正しいネットワーク・ユーザーであることが認証されたことになる。
次にクライアントは、利用したいネットワーク・リソースの情報(共有ディレクトリや共有プリンタなど)と取得したクレデンシャルをセットにして、再度KDCに問い合わせを行う。そしてユーザーが、要求されたリソースへのアクセス権限を持つ場合には、そのリソースへのアクセス・チケットが与えられる。こうして入手したアクセス・チケットを利用したいネットワーク・リソース側に送り、自身が正規のネットワーク・ユーザーで、そのリソースへのアクセス権限を持つことを通知し、リソースの使用許可を求め、利用を開始する。このアクセス・チケットのやり取りは、共有鍵暗号方式によって暗号化されており、安全性が保証されている。
Windows 2000 Serverには、Kerberos認証機能が標準で実装されており、ドメイン・コントローラがKDCとして機能し、ネットワーク内での認証処理をKerberosベースで行えるようにしている。
Copyright (C) 2000-2007 Digital Advantage Corp.