第20章 ポリシー: Kerberos ドメインの管理

Kerberos は、サービスとユーザーの間で認証層を提供します。Kerberos は認証を 1 つの場所に集中化します。ユーザーが Kerberos サーバーに対して認証を行い、そのユーザーがネットワーク上のリソースにアクセスしようとすると、そのリソースは保存されたユーザー認証情報の キー配布センター (KDC) を確認できます。これにより、ユーザーは認証情報を個別に指定しなくても、複数のリソースにアクセスできます。

相互を認識しているユーザーとサービス、組み合わせたすべての KDC および Kerberos サーバーが レルム を構成します。レルム内の各ユーザー、マシン、およびサービスは、プリンシパル と呼ばれる一意の名前で識別されます。ユーザーまたはサービスはプリンシパルと検証認証情報 (通常はパスワード) を使用して KDC に対する認証を行います。KDC と共有される認証情報はキーであり、キーテーブルまたはキータブと呼ばれるファイルに保存されます。

KDC がユーザーのアイデンティティーを検証すると、チケット が発行されます。チケットは、レルムのサービスおよびマシンへの長期パスです。KDC は、TGT (Ticket-granting Ticket)と呼ばれる特殊な種類のチケットを発行します。ユーザーが Kerberos レルム内のリソースにアクセスしようとすると、リソースはチケットに対して要求を送信します。TGT は、リソースがユーザーの認証およびアクセス許可すのためのリソース固有のチケット発行に使用されます。

identifier@REALM

service/FQDN@REALM

www.example.com		CNAME		web-01.example.com
web-01.example.com		A		192.0.2.145

$ ssh www.example.com