ID とアクセス
Kerberos
別称: Kerberos プロトコル
定義
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
Kerberos は MIT で開発され、RFC 4120 として標準化されました。クライアントはまず鍵配布センター(KDC)に対して認証を行い、Ticket-Granting Ticket(TGT)を受け取ります。以後、クライアントはこの TGT を用いてサーバーごとのサービスチケットを取得するため、パスワードを繰り返し送信する必要がありません。チケットは有効期限を持ち、共有鍵で暗号化されるため、相互認証とリプレイ防止を実現します。Kerberos は Active Directory、多くの Linux/Unix レルム、Hadoop の認証基盤を支えています。弱いサービスアカウントパスワードを狙う Kerberoasting、チケット偽造(Golden/Silver Ticket)、クロックずれといった既知の弱点があり、現代の対策は強力なサービス秘密、AES のみの暗号化、制約付き委任を組み合わせます。
例
- Active Directory ユーザーが Windows ドメインコントローラーから TGT を取得し、その後 SharePoint へアクセスするためのサービスチケットを得る。
- Hadoop が Kerberos を用いて NameNode と DataNode 間の通信を認証する。
関連用語
Active Directory
Active Directory — definition coming soon.
NTLM 認証
保存されたパスワードハッシュからユーザー身元を証明する Windows 旧来のチャレンジ・レスポンス認証プロトコルで、現代の基準では弱いと評価されている。
シングルサインオン (SSO)
信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
LDAP
LDAP — definition coming soon.
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
サービスアカウント
アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。