Kerberos v5 プロトコル
Kerberos v5 認証プロトコルには、RPC_C_AUTHN_GSS_KERBEROSの認証サービス識別子があります。 Kerberos プロトコルは、クライアントがネットワーク認証サービスと対話する方法を定義し、RFC 1510 のドキュメントで、1993 年 9 月にインターネット エンジニアリング タスク フォース (IETF) によって標準化。 クライアントは Kerberos キー配布センター (KDC) からチケットを取得し、接続が確立されたときにこれらのチケットをサーバーに提示します。 Kerberos チケットは、クライアントのネットワーク資格情報を表します。
NTLM と同様に、Kerberos プロトコルはドメイン名、ユーザー名、パスワードを使用してクライアントの ID を表します。 ユーザーのログオン時に KDC から取得された初期 Kerberos チケットは、ユーザーのパスワードの暗号化されたハッシュに基づいています。 この初期チケットはキャッシュされます。 ユーザーがサーバーに接続しようとすると、Kerberos プロトコルによって、そのサーバーの有効なチケットがチケット キャッシュにチェックされます。 使用できない場合、ユーザーの初期チケットは、指定されたサーバーのチケットの要求と共に KDC に送信されます。 そのセッション チケットはキャッシュに追加され、チケットの有効期限が切れるまで同じサーバーに接続するために使用できます。
サーバーが Kerberos プロトコル 使用して CoQueryClientBlanket を呼び出すと、クライアントのドメイン名とユーザー名が返されます。 サーバーが CoImpersonateClient呼び出すと、クライアントのトークンが返されます。 これらの動作は、NTLM を使用する場合と同じです。
Kerberos プロトコルは、コンピューターの境界を越えて動作します。 クライアント コンピューターとサーバー コンピューターの両方がドメイン内にあり、それらのドメインに信頼関係が必要です。
Kerberos プロトコルは相互認証を必要とし、リモートでサポートします。 クライアントはサーバーのプリンシパル名を指定する必要があり、サーバーの ID はそのプリンシパル名と正確に一致する必要があります。 クライアントがサーバーのプリンシパル名 NULL を指定した場合、またはプリンシパル名がサーバーと一致しない場合、呼び出しは失敗します。
Kerberos プロトコルを使用すると、偽装レベルで識別、偽装、および委任を使用できます。 サーバーが CoImpersonateClientを呼び出すと、返されるトークンは、5 分から 8 時間の間、コンピューターから有効になります。 この時間が経過すると、サーバー コンピューターでのみ使用できます。 サーバーが "アクティベーターとして実行" され、Kerberos プロトコルを使用してライセンス認証が行われた場合、サーバーのトークンはアクティブ化後 5 分から 8 時間の間に期限切れになります。
Windows によって実装される Kerberos v5 認証プロトコルは、クローキングをサポートしています。
関連トピック