ICDロゴ

Kerberos

【ケルベロス】

最終更新日: 2001/10/20

 マサチューセッツ工科大学(MIT)のアテナ・プロジェクト(Athena project)の中で開発されたユーザー認証システム。データの盗聴やなりすましが容易に行えるインターネット環境において、ユーザーを安全かつ効率的に認証することを目的として開発された。

 Kerberos認証システムでは、ネットワーク内にKDC(Key Distribution Center)と呼ばれる信頼できるサイトを配置し、このサイトでユーザーのログオンと各種ネットワーク・リソース利用という2段階のフェーズで認証を行う。

 まずKerberosクライアントは、正しいユーザー名とパスワードをKDCに与え、自身が正規のユーザーであることを認証してもらう。この際KDCからクライアントへは、クレデンシャル(credential:信用証明書)と呼ばれるデータが与えられる。このクレデンシャルを取得することで、クライアントは、正しいネットワーク・ユーザーであることが認証されたことになる。

 次にクライアントは、利用したいネットワーク・リソースの情報(共有ディレクトリや共有プリンタなど)と取得したクレデンシャルをセットにして、再度KDCに問い合わせを行う。そしてユーザーが、要求されたリソースへのアクセス権限を持つ場合には、そのリソースへのアクセス・チケットが与えられる。こうして入手したアクセス・チケットを利用したいネットワーク・リソース側に送り、自身が正規のネットワーク・ユーザーで、そのリソースへのアクセス権限を持つことを通知し、リソースの使用許可を求め、利用を開始する。このアクセス・チケットのやり取りは、共有鍵暗号方式によって暗号化されており、安全性が保証されている。

 Windows 2000 Serverには、Kerberos認証機能が標準で実装されており、ドメイン・コントローラがKDCとして機能し、ネットワーク内での認証処理をKerberosベースで行えるようにしている。

Copyright (C) 2000-2007 Digital Advantage Corp.

アイティメディアの提供サービス

キャリアアップ