48.6.3. Kerberos の仕組み
Kerberos は、ユーザー名/パスワードの認証方法とは異なります。Kerberos は、各ユーザーを各ネットワークサービスに対して認証する代わりに、対称暗号化と信頼できるサードパーティー(KDC)を使用して、ネットワークサービススイートに対してユーザーを認証します。ユーザーが KDC に対して認証を行うと、KDC はそのセッションに固有のチケットをユーザーのマシンに送信し、Kerberos 対応のサービスは、ユーザーがパスワードを使用して認証を要求するのではなく、ユーザーのマシンでチケットを検索します。
Kerberos 対応のネットワーク上のユーザーがワークステーションにログインすると、認証サーバーからの TGT の要求の一部としてプリンシパルが KDC に送信されます。この要求は、ログインプログラムによりユーザーに透過的となるように送信したり、ユーザーのログイン後に kinit プログラムから送信したりできます。
次に KDC はデータベース内でプリンシパルをチェックします。プリンシパルが見つかると、KDC は TGT を作成します。TGT は、ユーザーのキーを使用して暗号化され、そのユーザーに戻ります。
クライアント上のログインまたは kinit プログラムはユーザーの鍵を使用して TGT を復号化します。これは、ユーザーのパスワードから計算します。ユーザーのキーはクライアントマシン上でのみ使用され、ネットワーク上では送信されません。
TGT は、一定期間 (通常は 10 から 15 時間) の後に期限切れに設定され、クライアントマシンの認証情報キャッシュに保存されます。セキュリティーの破られた TGT が攻撃者に利用される時間を短くするために、有効期限が設定されています。TGT の発行後、TGT の有効期限が切れるまで、もしくはログアウトして再度ログインするまで、ユーザーはパスワードを再入力する必要はありません。
ユーザーがネットワークサービスにアクセスする必要がある場合は、クライアントソフトウェアは TGT を使用して TGS からその特定のサービスの新しいチケットを要求します。サービスチケットはその後、そのサービスに対して透過的にユーザーを認証するために使用されます。
Warning
ネットワーク上のユーザーが Kerberos 以外の対応サービスに対してパスワードをプレーンテキストで送信して認証すると、Kerberos システムが危険にさらされる可能性があります。Kerberos 以外の対応サービスの使用は推奨されません。このようなサービスには、Telnet や FTP が含まれます。SSH や SSL で保護されたサービスなどの他の暗号化プロトコルの使用が推奨されますが、理想的ではありません。
これは、Kerberos 認証の仕組みの幅広い概要です。詳細は、「関連情報」 を参照してください。
注記
Kerberos は、正しく機能するために以下のネットワークサービスに依存します。
- ネットワーク上のマシン間のクロック同期の概算。クロック同期プログラムは、ntpd などのネットワークに設定する必要があります。ネットワークタイムプロトコルサーバーのセットアップに関する詳細は、
/usr/share/doc/ntp- <version-number> /index.htmlを参照してください。< version-number > は、システムにインストールされているntpパッケージのバージョン番号に置き換えます。 - DNS (Domain Name Service)ネットワーク上の DNS エントリーとホストがすべて適切に設定されていることを確認する必要があります。詳細は、
/usr/share/doc/krb5-server- <version-number> の 『Kerberos V5 System Administrator's Guide』 を参照してください。< version-number > は、システムにインストールされているkrb5-serverパッケージのバージョン番号に置き換えてください。
