Microsoft Kerberos

Kerberos プロトコル は、クライアントがネットワーク認証サービスと対話する方法を定義します。 クライアントは Kerberos キー配布センター (KDC) からチケットを取得し、接続が確立されたときにこれらのチケットをサーバーに提示します。 Kerberos チケットは、クライアントのネットワーク 資格情報を表します。

このセクションでは、認証プロセスでの Kerberos プロトコルの使用に関する理論的背景を説明します。 これは、Kerberos バージョン 5 プロトコルを使用する SSPI プロセスの背後で何が起こっているかを開発者が理解するのに役立つ背景情報です。

Kerberos 認証プロトコルは、セキュリティで保護されたネットワーク接続が確立される前に、エンティティ間で相互認証を行うメカニズムを提供します。 このドキュメントでは、セキュリティで保護されたネットワーク接続をサーバー間で確立できる場合でも、2 つのエンティティをクライアントとサーバーと呼びます。 クライアントとサーバーの両方を、セキュリティ プリンシパルと呼ぶこともできます。

Kerberos プロトコルでは、クライアントとサーバー間のトランザクションは、ほとんどのクライアントと多くのサーバーが物理的にセキュリティで保護されていないオープン ネットワーク上で行われ、ネットワークに沿って移動するパケットを監視および変更できることを前提としています。 想定される環境は、攻撃者がクライアントまたはサーバーとして簡単にポーズを取ることができ、正当なクライアントとサーバー間の通信を簡単に傍受または改ざんできる、今日のインターネットのようなものです。

このセクションでは、次の情報を提供します。

• 基本認証の概念
• Kerberos サブプロトコル
• Kerberos モデルの
• GSSAPI との SSPI/Kerberos 相互運用性の

アプリケーションは Kerberos セキュリティ パッケージ に直接アクセスしないでください。代わりに、Negotiate セキュリティ パッケージを使用する必要があります。 ネゴシエートを使用すると、認証に関係するシステムでサポートされている場合、アプリケーションはより高度なセキュリティ プロトコルを利用できます。 現在、ネゴシエート セキュリティ パッケージは、Kerberosと NTLM選択します。 ネゴシエートでは、認証に関係するシステムの 1 つで Kerberos を使用できない場合を除き、Kerberos を選択します。