Kerberos
Kerberos とは何ですか?
Kerberos対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
Kerberos は MIT で開発され、RFC 4120 として標準化されました。クライアントはまず鍵配布センター(KDC)に対して認証を行い、Ticket-Granting Ticket(TGT)を受け取ります。以後、クライアントはこの TGT を用いてサーバーごとのサービスチケットを取得するため、パスワードを繰り返し送信する必要がありません。チケットは有効期限を持ち、共有鍵で暗号化されるため、相互認証とリプレイ防止を実現します。Kerberos は Active Directory、多くの Linux/Unix レルム、Hadoop の認証基盤を支えています。弱いサービスアカウントパスワードを狙う Kerberoasting、チケット偽造(Golden/Silver Ticket)、クロックずれといった既知の弱点があり、現代の対策は強力なサービス秘密、AES のみの暗号化、制約付き委任を組み合わせます。
● 例
- 01
Active Directory ユーザーが Windows ドメインコントローラーから TGT を取得し、その後 SharePoint へアクセスするためのサービスチケットを得る。
- 02
Hadoop が Kerberos を用いて NameNode と DataNode 間の通信を認証する。
● よくある質問
Kerberos とは何ですか?
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。 サイバーセキュリティの ID とアクセス カテゴリに属します。
Kerberos とはどういう意味ですか?
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
Kerberos からどのように防御しますか?
Kerberos に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Kerberos の別名は何ですか?
一般的な別名: Kerberos プロトコル。