Kerberos 認証の概要
適用対象: Windows Server 2012,Windows 8
Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。 このトピックには、Windows Server 2012 と Windows 8 の Kerberos 認証に関する情報が記載されています。
機能の説明
Windows Server オペレーティング システムには、公開キー認証、承認データの転送、委任のために、Kerberos Version 5 認証プロトコルと拡張機能が実装されています。 Kerberos 認証クライアントはセキュリティ サポート プロバイダー (SSP) として実装され、セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用してアクセスできます。 初回ユーザー認証は Winlogon シングル サインオン アーキテクチャと統合されます。
Kerberos キー配布センター (KDC) は、ドメイン コントローラーで実行されている他の Windows Server セキュリティ サービスと統合されます。 KDC では、そのセキュリティ アカウント データベースとして、ドメインの Active Directory ドメイン サービス データベースを使用します。 ドメインまたはフォレスト内の既定の Kerberos 実装には、Active Directory ドメイン サービスが必要です。
実際の適用例
ドメイン ベースの認証に Kerberos を使用する利点は次のとおりです。
委任認証。
Windows オペレーティング システムで実行されるサービスは、クライアントの代わりにリソースにアクセスするときに、クライアント コンピューターを偽装できます。 多くの場合、サービスは、ローカル コンピューター上のリソースにアクセスしてクライアントに対する処理を完了できます。 クライアント コンピューターがサービスに対して認証を行うとき、NTLM と Kerberos プロトコルは、サービスがクライアント コンピューターをローカルに偽装するために必要な承認情報を提供します。 ただし、分散アプリケーションによっては、フロントエンド サービスが他のコンピューター上のバックエンド サービスに接続するときに、クライアント コンピューターの ID を使用する必要があるように設計されていることもあります。 Kerberos 認証は、サービスがクライアントの代わりとして他のサービスに接続できる委任メカニズムをサポートしています。
シングル サインオン。
ドメイン内またはフォレスト内で Kerberos 認証を使用すると、ユーザーまたはサービスは、管理者によって許可されたリソースに、資格情報を繰り返し要求されることなくアクセスできます。 最初に Winlogon を使用してドメインにサインオンした後は、フォレスト内でリソースへのアクセスが試行されるたびに、Kerberos が資格情報を管理します。
相互運用性。
マイクロソフトによる Kerberos V5 プロトコルの実装は、インターネット技術標準化委員会 (IETF) に対して推奨されている標準トラック仕様に基づいています。 そのため、Windows オペレーティング システムでは、Kerberos プロトコルが認証に使用される他のネットワークとの相互運用性に対しては、Kerberos プロトコルが基盤になります。 さらに、Microsoft は、Kerberos プロトコルを実装するために Windows プロトコルのドキュメントを公開しています。 このドキュメントには、Microsoft による Kerberos プロトコルの実装に関する技術的な要件、制限事項、依存関係、および Windows 固有のプロトコルの動作が含まれます。
サーバーに対するより効率的な認証。
Kerberos の前は NTLM 認証を使用できましたが、アプリケーション サーバーはすべてのクライアント コンピューターやサービスを認証するためにドメイン コント ローラーに接続する必要がありました。 Kerberos プロトコルでは、更新可能なセッション チケットがパススルー認証の代わりになります。 サーバーはドメイン コントローラーに接続する必要がありません (特権属性証明 (PAC) を検証する必要がない限り)。 その代わりに、サーバーは、クライアント コンピューターから提示された資格情報を調べてクライアントを認証できます。 クライアント コンピューターは特定のサーバーに対する資格情報を一度入手したら、それをネットワーク ログオン セッション全体で再利用できます。
相互認証。
Kerberos プロトコルを使用すると、ネットワーク接続の一方のエンティティは、相手側が本物のエンティティであることを検証できます。 NTLM では、クライアントがサーバーの ID を検証したり、サーバーが別のサーバーの ID を検証することはできません。 NTLM 認証は、サーバーが本物であることが前提となっているネットワーク環境向けの方式でした。 Kerberos プロトコルにはこのような前提はありません。
新機能と変更された機能
Windows における Kerberos 実装に対する変更の説明については、「Kerberos 認証の新機能」を参照してください。
関連項目
コンテンツの種類 |
参考資料 |
|---|---|
製品評価 |
新機能と変更された機能 (アクセス制御と承認の概要) |
計画 |
Windows 7、Windows Vista、Windows Server 2008 R2、および Windows Server 2008 向けの Kerberos のドキュメント |
展開 |
現在は入手不能 |
運用 |
現在は入手不能 |
トラブルシューティング |
現在は入手不能 |
セキュリティ |
現在は入手不能 |
ツールと設定 |
[MS-KILE]:Kerberos Protocol Extensions (Kerberos プロトコルの拡張機能) |
コミュニティ リソース |
|
関連テクノロジ |