Kerberos はマサチューセッツ工科大学(MIT)が開発した秘密キーによるネットワーク認証プロトコルです。 データ暗号規格(DES)という暗号化アルゴリズムを暗号化と認証に使用し、ネットワーク リソースに対する要求を認証します。 Kerberos は、信頼できるサードパーティという概念を使ってユーザとサービスに対してセキュリティの検証を実行します。 この信頼できるサードパーティをキー発行局(KDC)と呼びます。
Kerberos は、ユーザが誰であるか、そのユーザが使用しているネットワーク サービスは何であるかを検証します。 これを実行するために、KDC(つまり信頼できる Kerberos サーバ)がユーザにチケットを発行します。 これらのチケットには有効期限があり、ユーザ クレデンシャルのキャッシュに保存されます。 Kerberos サーバは、ユーザ名やパスワードの代わりにチケットを使ってユーザとネットワーク サービスを認証します。
 (注) |
Kerberos サーバには、ネットワーク セキュリティ サーバとして設定され、Kerberos プロトコルを使用してユーザを認証できる Catalyst 3750-E または 3560-E Catalyst 3750-X または 3560-X スイッチを使用できます。
|
Kerberos のクレデンシャル発行スキームでは、single logon という手順を使用します。 この手順では、ユーザを 1 回認証すると、ユーザ クレデンシャルが有効な間は(他のパスワードの暗号化を行わずに)セキュア認証が可能になります。
このソフトウェア リリースは Kerberos 5 に対応しています。Kerberos 5 では、すでに Kerberos 5 を使用している組織が、(UNIX サーバや PC などの)他のネットワーク ホストが使用している KDC 上の Kerberos 認証データベースを使用できます。
このソフトウェア リリースでは、Kerberos は次のネットワーク サービスをサポートしています。
次の表に、一般的な Kerberos 関連用語とその定義を示します。
表 1 Kerberos の用語
用語 |
定義 |
認証 |
ユーザやサービスが他のサービスに対して自分自身の身元を証明する手順。 たとえば、クライアントはスイッチに対して認証を得て、スイッチは他のスイッチに対して認証を得ます。 |
許可 |
ユーザがネットワークやスイッチにおいてどのような権限を有しており、またどのような動作を実行できるかを、スイッチが識別する手段 |
クレデンシャル |
認証チケット(TGT など)を表す総称1 およびサービス クレデンシャル。 Kerberos クレデンシャルで、ユーザまたはサービスの ID を検証します。 ネットワーク サービスがチケットを発行した Kerberos サーバを信頼することにした場合、ユーザ名やパスワードを再入力する代わりにこれを使用できます。 証明書の有効期限は、8 時間がデフォルトの設定です。 |
インスタンス |
Kerberos プリンシパルの承認レベル ラベル。 ほとんどの Kerberos プリンシパルは、user@REALM という形式です(たとえば、smith@EXAMPLE.COM)。 Kerberos インスタンスのある Kerberos プリンシパルは、user/instance@REALM という形式です(たとえば、smith/admin@EXAMPLE.COM)。 Kerberos インスタンスは、認証が成功した場合のユーザの承認レベルを指定するために使用できます。 各ネットワーク サービスのサーバは、Kerberos インスタンスの許可マッピングを適用し実行できますが、必須ではありません。
(注) |
Kerberos プリンシパル名およびインスタンス名はすべて小文字でなければなりません。 |
(注) |
Kerberos レルム名はすべて大文字でなければなりません。 |
|
KDC2 |
ネットワーク ホストで稼働する Kerberos サーバおよびデータベース プログラムで構成されるキー発行局 |
Kerberos 対応 |
Kerberos クレデンシャルのインフラストラクチャをサポートするために変更されたアプリケーションやサービスのことを指す用語 |
Kerberos レルム |
Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。 Kerberos サーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスの ID を検証します。
(注) |
Kerberos レルム名はすべて大文字でなければなりません。 |
|
Kerberos サーバ |
ネットワーク ホストで稼働しているデーモン。 ユーザおよびネットワーク サービスはそれぞれ Kerberos サーバに ID を登録します。 ネットワーク サービスは Kerberos サーバにクエリーを送信して、他のネットワーク サービスの認証を得ます。 |
KEYTAB3 |
ネットワーク サービスが KDC と共有するパスワード。 Kerberos 5 以降のバージョンでは、ネットワーク サービスは KEYTAB を使って暗号化されたサービス クレデンシャルを暗号解除して認証します。 KEYTAB は Kerberos 5 よりも前のバージョンでは、SRVTAB と呼ばれています4。 |
プリンシパル |
Kerberos ID とも呼ばれ、Kerberos サーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。
(注) |
Kerberos プリンシパル名はすべて小文字でなければなりません。 |
|
サービス クレデンシャル |
ネットワーク サービスのクレデンシャル。 KDC からクレデンシャルが発行されると、ネットワーク サービスと KDC が共有するパスワードで暗号化されます。 ユーザ TGT ともパスワードを共有します。 |
SRVTAB |
ネットワーク サービスが KDC と共有するパスワード。 SRVTAB は、Kerberos 5 以降のバージョンでは KEYTAB と呼ばれています。 |
TGT |
身分証明書のことで、KDC が認証済みユーザに発行するクレデンシャル。 TGT を受け取ったユーザは、KDC が示した Kerberos レルム内のネットワーク サービスに対して認証を得ることができます。 |
1 Ticket Granting Ticket(チケット認可チケット)