認証固有の用語

認証プロセスを理解するには、次の用語の理解が必要です。プログラマやシステム管理者はこれらの用語に精通していなければなりません。

「クライアント」とは、ユーザーのワークステーションで動作しているソフトウェアです。クライアント上で動作する SEAM ソフトウェアは、このプロセスの間に多くの要求を行います。したがって、このソフトウェアの動作とユーザーの操作を区別することが大切です。

サーバーとサービスはしばしば同じ意味で使われます。正確にいえば、「サーバー」は SEAM ソフトウェアが動作している物理システムであり、「サービス」はサーバー上でサポートされている特定の機能 (ftp や nfs など) です。サーバーがサービスの一部として使用されることがよくありますが、これはこれらの用語の意味をあいまいにします。したがって、サーバーは物理システムを、サービスはソフトウェアをそれぞれ指すことにします。

SEAM 製品には 3 種類の鍵があります。1 つは「非公開鍵」です。この鍵は各ユーザー (プリンシパル) に与えられ、プリンシパルのユーザーと KDC だけに知られています。ユーザープリンシパルに対しては、鍵はユーザーのパスワードに基づいています。サーバーとサービスに対する鍵は「サービス鍵」と呼ばれます。この鍵は非公開鍵と同じ目的で使われますが、これはサーバーとサービスによって使用されます。3 つめの鍵は「セッション鍵」です。この鍵は、認証サービスまたはチケット許可サービスによって生成されます。セッション鍵は、クライアントとサービス間のトランザクションのセキュリティを保護するために生成されます。

「チケット」は、ユーザーの識別情報をサーバーやサービスに安全に渡すために使用される情報パケットです。チケットは、単一のクライアントと特定のサーバーの特定のサービスだけに有効です。チケットには、サービスのプリンシパル名、ユーザーのプリンシパル名、ユーザーのホストの IP アドレス、タイムスタンプ、チケットの有効期限を定義する値などが入っています。チケットは、クライアントとサービスによって使用されるランダムセッション鍵を使用して作成されます。チケットは、作成されてから有効期限が過ぎるまで再使用できます。

「資格」は、対応するセッション鍵とチケットをもつ情報パケットです。一般に資格は、資格を暗号化するものに応じて、非公開鍵かサービス鍵を使用して暗号化されます。

「認証」はさらに別のタイプの情報です。これをチケットとともに使用すれば、ユーザープリンシパルを認証できます。認証には、ユーザーのプリンシパル名、ユーザーのホストの IP アドレス、タイムスタンプが含まれています。チケットとは異なり、認証は一度しか使用できません。認証を使用するのは、通常、サービスへのアクセスが要求されたときです。認証は、そのクライアントとそのサーバーのセッション鍵を使用して暗号化されます。