[NT]Windows 2000 での Kerberos 認証の概要

文書翻訳 文書翻訳
文書番号: 217098 - 対象製品
この記事は、以前は次の ID で公開されていました: JP217098
すべて展開する | すべて折りたたむ

概要

本アーティクルでは、Windows 2000 での Kerberos ユーザー認証について説明します。

認証に関して Windows 2000 は完全に下位互換性があることに注意してください。本アーティクルでは純粋な Windows 2000 環境での Kerberos ユーザー認証、つまり Windows 2000 サーバーと Windows 2000 クライアント間の認証を扱います。

詳細

Windows 2000 は、IETF RFC 1510 で定義される MIT Kerberos v.5 認証をサポートします。Kerberos プロトコルは、3 つのサブプロトコルで構成されます。
KDC (Key Distribution Center) がクライアントにログオン セッション キーと TGT (Ticket Granting Ticket) を与えるサブプロトコルは、Authentication Service (AS) Exchange と呼ばれます。KDC がサービスのためのサービス セッション キーとチケットを発行するサブプロトコルは、Ticket-Granting Service (TGS) Exchange と呼ばれます。クライアントがサービスの開始許可のためのチケットを事前に送信するサブプロトコルは、Client/server (CS) Exchange と呼ばれます。

以下に、クライアント ワークステーションとリソース サーバーの間の Kerberos 認証セッションに含まれる通信のチェーンを簡単に説明します。
  1. Authentication Service (AS) Exchange.
    1. ユーザー A が Microsoft Windows 2000 Professional ワークステーションで自分のユーザー名とパスワードを入力して、Microsoft Windows 2000 ネットワークにログオンします。A のワークステーションで実行している Kerberos クライアントが A のパスワードを暗号キーに変換してその結果をプログラム変数に保存します。
    2. Kerberos クライアントが Key Distribution Server (KDC) にタイプ KRB_AS_REQ (Kerberos Authentication Server Request) のメッセージを送信します。このメッセージは、次の 2 つの部分で構成されます。
      • ユーザー A および A が認証を要求しているサービス TGS (Ticket-GrantingService) の ID
      • A が自分のパスワードを知っていることを証明する事前認証データ。これは単に A のマスタ キーによって暗号化された認証子です。マスタ キーは OWF によって A のパスワードを入力することによって生成されます。
    3. KDC は A から KRB_AS_REQ を受信すると、そのデータベース (ActiveDirectory) でユーザー A を検索して、A のマスタ キーを入手し、事前認証データを復号化します。その後、内部のタイム スタンプを評価します。タイム スタンプがテストにパスすると KDC はその事前認証データが A のマスタ キーによって暗号化され、単に送り込まれた応答ではないことが確定されます。
    4. 最後に KDC は A の ID の検査を終了すると、A のワークステーションのクライアント プログラムが Ticket Granting Service (TGS) に提示することができるアカウントを作成します。この証明書は次のようにして作成および配置されます。
      • 新しいログオン セッション キーが A のマスタ キーによって暗号化されます
      • ログオン セッション キーの 2 つめのコピーと Ticket Granting Ticket(TGT) 中の A の認証データが KDC の固有マスタ キーによって暗号化されます。
      • 次に、KDC は、タイプ KRB_AS_REP (Kerberos Authentication Response) のメッセージを使用して応答することによってこれらの証明書をクライアントに返信します。
      • クライアントは、応答を受信すると A のマスタ キーのアプリケーションによってログオン セッション キーを復号化します。その後、このセッションキーはクライアント ワークステーションのチケット キャッシュに保存されます。TGT がメッセージから取り出されて同様にキャッシュに保存されます。
  2. Ticket-Granting Service (TGS) Exchange.
    1. このステップでは、A のワークステーションで実行している Kerberos クライアントは、タイプ KRB_TGS_REQ (Kerberos Ticket-Granting ServiceRequest) のメッセージを KDC に送信することによって、実際にターゲット サーバー (ユーザー B) にアクセスするための証明書を要求します。このメッセージは、次の内容で構成されます。
      • クライアントが証明書を要求しているターゲット サービスの ID
      • ユーザーのログオン セッション キーによって暗号化された認証子
      • AS Exchange で取得された TGT
    2. KDC がそのマスタ キーを使用して TGT を復号化して、A のログオンセッションキーを取り出します。A のログオン セッション キーは A の認証の複合化で使用されます。A の認証子がテストをパスすると、KDC は A が B と共有するための新しいセッション キーを作成します。この新しいセッションキーの 2 つのコピーが次の方法で暗号化された単一のメッセージに入れられて A に返信されます。
      • 1 つめのコピーは、A のログオン セッション キーを用いて暗号化されます。
      • 2 つめのコピーは、ターゲット サーバーのマスタ キーを用いて暗号化されて A の認証データと共にチケットに入れられます。
    3. A が自分のログオン セッション キーを用いてターゲット サーバー セッションキーを復号化し、ターゲット サーバー チケットと共にセッション キーを自分のキャッシュに保存します。
  3. Client-Server (CS) Exchange.
    1. A の Kerberos クライアントはターゲット サーバー B によって認証される準備が整いました。A のクライアントがタイプ KRB_AP_REQ (KerberosApplication Request) のメッセージを B に送信します。このメッセージの内容は次のとおりです。
      • B のセッション キーによって暗号化された認証子
      • B のマスタ キーによって暗号化された B によるセッションのためのチケット
      • クライアントが相互認証を要求しているかどうかを示すフラグ
    2. B がチケットを復号化し、A の認証データとセッション キーを取り出します。
      B がセッション キーを用いて A の認証子を復号化し、タイム スタンプを評価します。認証子がテストをパスすると、B は相互認証フラグを調べます。
      このフラグが設定されていれば、B はセッション キーを用いて A の認証子から時刻を暗号化し、その結果をタイプ KRB_AP_REP (Kerberos Application Reply) のメッセージに入れて A に返信します。
    3. A がセッション キーによって応答を復号化します。認証子が A が B に送信したものと一致すれば、クライアントはそのサーバーが本物であることを確信し、接続が続行します。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 217098 (最終更新日 2000-03-02) をもとに作成したものです。

プロパティ

文書番号: 217098 - 最終更新日: 2004年5月5日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbinfo kbnetwork ntsecurity KB217098
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com