ケルベロス【Kerberos】
Kerberos認証
別名:ケルベロス認証,Kerberos
【英】Kerberos Certification
Kerberos認証とは、インターネットのような公開されているネットワーク環境において、接続するユーザーを正しく認証するための、ネットワーク認証プロトコルの名称である。RFC 1510で定義されている。
Kerberos認証では、キー配布センター(Key Distribution Center)でパスワードが管理されている。KDCは認証サーバーとして、ユーザーから受け取ったパスワードを認証し、正しいユーザーにはチケット保証チケット(Ticket Granting Ticket)を発行する。認証されたユーザーは、発行されたチケットを利用して各種のネットワークサービスを利用することができる。
参照リンク
Kerberos: The Network Authentication Protocol - (Microsoft)
ケルベロス認証
最新版 | krb5-1.21.2[1] / 2023年8月14日 |
---|---|
プログラミング 言語 | C |
対応OS | クロスプラットフォーム |
公式サイト | web |
インターネットセキュリティ プロトコル |
---|
キーマネジメント |
|
アプリケーション層 |
DNS |
インターネット層 |
ケルベロス認証(ケルベロスにんしょう、Kerberos - )は、ネットワーク認証方式の一つ[2]。シングルサインオンシステムを提供する[2]。ケルベロス認証は1989年から使われている[2]。
ケルベロス認証は、X Window Systemの開発で知られるマサチューセッツ工科大学 (MIT) のAthenaプロジェクトによって開発され、現在もMITで保守されている。その仕様は RFC 4120 で標準化されている。
マイクロソフトのActive Directoryでの推奨の認証機構となっている[2]。また、macOSでは、Heimdalで実装されている[3]。
名称はギリシャ神話おける地獄の番犬ケルベロスに由来し[4]、日本ではギリシア語読みにならって「ケルベロス」とするが、英語では[ˈkərbərɒs](「カーバラス」に近い発音[5])となる。
プロトコル概要
構造
Kerberos サーバーを運用したい組織は、独自の 「レルム」を構築する。レルムに属するマシンやサービスはプリンシパルと呼ばれる。レルムにはKDC(key distribution center、直訳:鍵配送センター)と呼ばれる権限者が存在する。KDCはAS(Authentication Server、直訳:認証サーバ)というサーバとTGS(Ticket Granting Server、意訳:チケット発行許諾サーバ)というサーバがある。
手順
ユーザがレルムにログインする際には、まず自身の持つクライアント端末からID/パスワードなどで認証を受け、認証が受理されたらクライアント端末はこのパスワードを利用して秘密鍵Kを生成する。クライアントはユーザのIDを平文でASに送り、ASはユーザのIDを自身のデータベースに問い合わせる事でユーザの秘密鍵Kを得る。
次にASはTGT(ticket-granting ticket、意訳:チケット発行許諾チケット)と、クライアント/TGSセッション鍵とをKで共通鍵暗号化してクライアント端末とTGSに送る。ユーザがTGSから「チケット」というデータを受け取るための大元となるチケットがTGTであり、クライアント/TGSセッション鍵はTGSからチケットを受け取る際に用いるセッション鍵である。なお、共通鍵暗号としては、バージョン4においては56bitDES暗号を用いる。
その後ユーザがレルム内にあるプリンシパルAが提供しているサービスを利用したくなったら、ユーザのクライアント端末はTGTをAのサービスを使いたい旨とともにTGSに送る。この際の通信はクライアント/TGSセッション鍵で共通鍵暗号化しておく。TGSはTGTの正当性を確認し、チケットという、Aのサービスを利用する許可証をクライアント端末に送り、さらにAとの通信で用いるセッション鍵もクライアント端末に送る。
チケットに記載された有効期限内にチケットを(セッション鍵で暗号化して)プリンシパルAに送れば、クライアント端末はAの提供するサービスを利用できる。
特徴
以上のように、ユーザがID/パスワードを使うのは最初にASから認証を受ける時だけであり、とても少ない。(以後はTGTを使ってTGSから認証を受ける。)そうすることでID/パスワードの漏洩を防いでいる。
また、TGTを直接プリンシパルAに送ってしまうと、AがTGTを使ってユーザになりすまして別のプリンシパルのサービスを利用できてしまうため、クライアント端末がTGTを直接プリンシパルAに送信する事はしない。その代わりに、TGSにTGTを送ることでAへのアクセスのみに利用できるチケットを発行してもらい、このチケットでAの認証を受け、サービスを利用する。
歴史
1980年代のマサチューセッツ工科大学 (MIT) にて研究プロジェクトとして始まった[6]。MITのAthenaプロジェクトでは開始当初からクライアントサーバモデルを想定して設計されており、そのネットワーク認証のためにKerberosプロトコルが開発された[7][8]。この認証システムは、経路上での盗聴を防ぐために、認証サーバとその他のコンピュータとの間の認証のやりとりを暗号化している[7]。
Kerberosバージョン3まではテストのために開発され、MIT内部でのみ使われた[9]。そして、1989年1月24日に初めてMIT外部にKerberosバージョン4として公開される[9]。Kerberosはいくつかのベンダーに採用されることとなった[9]。
Kerberosバージョン4はDESを用いていたため、アメリカ政府の暗号化ソフトウェアに対する輸出規制に引っかかり、アメリカ国外の組織はMITから合法的にソフトウェアをダウンロードすることはできなかった[10]。そのため、MITの開発チームは、Kerberosのソフトウェアから暗号化のコードをすべて取り除き、骨格だけにした「Bones」を作成した[11]。オーストラリアのエリック・ヤングがこのBonesに独自のDES実装を追加した「eBones」を開発したことで、アメリカ国外でも合法的にKerberosバージョン4を使うことができるようになった[11]。
その後、Kerberosバージョン4に機能を追加し、セキュリティの強化を行ったバージョン5が開発される[11]。Kerberosバージョン5のプロトコルは RFC 1510 で文書化され、RFC 4120 に置き換えられた[11]。
関連項目
脚注
出典
- ^ http://web.mit.edu/kerberos/krb5-1.21/
- ^ a b c d Jason Garman 著、桑村潤、我妻佳子 訳「はじめに」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7頁。ISBN 4-87311-186-2。
- ^ “Source Browser”. opensource.apple.com. 2019年8月12日閲覧。
- ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、2頁。ISBN 4-87311-186-2。
- ^ e-words IT用語辞典 Kerberos 【 ケルベロス 】
- ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、3頁。ISBN 4-87311-186-2。
- ^ a b Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、5頁。ISBN 4-87311-186-2。
- ^ 編集人 小山 透『コンピュータ・サイエンス誌 bit』共立出版、1990年7月1日、66頁。
- ^ a b c Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7頁。ISBN 4-87311-186-2。
- ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7-8頁。ISBN 4-87311-186-2。
- ^ a b c d Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、8頁。ISBN 4-87311-186-2。
外部リンク
- MITのページ
- RFC 1510: Kerberos ネットワーク認証サービス v5
- Kerberos FAQ v2.0 2000/8/18執筆時点。
KERBEROS
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2018/06/28 04:25 UTC 版)
「チップス・アンド・メディア」の記事における「KERBEROS」の解説
KERBEROSは広角レンズによって歪んだ画像を補正または平坦化するレンズ歪み補正IPで、主に監視カメラ、アクションカメラ、VR/ARに採用されている。
※この「KERBEROS」の解説は、「チップス・アンド・メディア」の解説の一部です。
「KERBEROS」を含む「チップス・アンド・メディア」の記事については、「チップス・アンド・メディア」の概要を参照ください。
「Kerberos -」の例文・使い方・用例・文例
- 今年からは、フィットネスセンターのNice-n-Fitチェーンと契約を結びました。
- 便利なことにNice-n-Fitの本店は隣のBlake Tower内にあり、街中にも4 つの店舗があります。
- Nice-n-Fit の会員になると、同チェーンのすべての施設に通うことができます。
- ご注文いただいた3 品のうち、引き出し2個付きのファイル棚(商品番号34-210)と、便利なデスク用掃除機(商品番号5202)は7 月15 日に発送されました。
- Bay Areaの5か所で10日間にわたり、Cream-Liteが30 グラム入った無料の箱が、200 グラム入り箱の割引券と一緒に見込み客に配られます。
- Cream-Liteが30グラム入った試供品
- Cream-Liteが200グラム入った容器
- 7 月25 日、本社で参加者にインタビューを行い、その際に効力や風味、ネーミングなどの区分について、1-10の段階で試供品を評価してもらいます。
- 詳細は、Mauer不動産のKim Yoshida、832-2938までご連絡ください。
- 許可されているものとされていないものの安全基準は、弊社のウェブサイトwww.air-qatar.comでご確認いただけます。
- 詳細は、Sophistication のウェブサイト、www.sophistication-magazine.comをご覧ください。
- 登録するには、(352) 112-3944 までお電話をいただくか、コミュニティーセンターのウェブサイトから登録用紙をダウンロードして、Addo通り948 番地、Mephisto、AZ85002 まで郵送してください。
- サケは通常2-3kgである。
- インターロイキン-6受容体
- CTLA-4遮断はがん細胞の再増殖を抑制する。
- 効率化を図る為に20-80のルールを利用した。
- 政府による現在のポリシ-ミックスは国家経済が望ましい方向へと進むのに役立っているようだ。
- サプライヤとメーカーはできるだけ早くWin-Winのパートナー関係を築くべきだ。
- 2-Dと同等の
- 私たちは注文番号F-2144、F-2146、F-2147の注文の品を発送しました。
- Kerberosのページへのリンク