認証に固有な用語

次に説明する用語は、認証プロセスを理解するために必要です。プログラマとシステム管理者はこれらの用語を理解している必要があります。

クライアントとは、ユーザーのワークステーション上で動作するソフトウェアのことです。クライアント上で動作する SEAM ソフトウェアは、認証プロセス中に多くの要求を作成します。したがって、このソフトウェアの動作とユーザーの動作を区別することは重要です。

多くの場合、サーバーとサービスという用語は同じ意味で使用されます。ここでは両者を区別します。サーバーという用語は、SEAM ソフトウェアが動作している物理的なシステムを定義するために使用されます。サービスという用語は、サーバー上でサポートされている特定の機能 (たとえば、ftp や nfs) に対応します。文書内でサーバーはサービスの一部として表現されることがあります。しかし、この定義を使用すると、これらの用語の意味が曖昧になります。したがって、サーバーは物理的なシステムを指し、サービスはソフトウェアを指すものとします。

SEAM 製品には 3 種類の鍵があります。1 つは非公開鍵です。非公開鍵は各ユーザープリンシパルに与えられます。非公開鍵を知っているのは、そのプリンシパルのユーザーと KDC だけです。ユーザープリンシパルの場合、鍵はユーザーのパスワードが元になっています。2 つめはサービス鍵です。サービス鍵の目的は非公開鍵と同じですが、サーバーとサービスによって使用されるところが異なります。3 つめはセッション鍵です。セッション鍵は、認証サービスまたはチケット許可チケットによって生成されます。セッション鍵は、クライアントとサービス間でセキュリティの保護されたトランザクションを提供するために生成されます。

チケットとは、ユーザーの識別情報をサーバーまたはサービスに安全に渡すために使用される情報パケットのことです。チケットは、単一のクライアントおよび特定のサーバー上にある特定のサービスにとってだけ有効なものです。チケットには、サービスのプリンシパル名、ユーザーのプリンシパル名、ユーザーのホストの IP アドレス、タイムスタンプ、およびチケットの有効期間を定義する値が入っています。チケットは、クライアントとサービスで使用されるランダムなセッション鍵とともに作成されます。作成後、チケットは有効期限が切れるまで何度でも使用できます。

資格とは、チケットとそれに一致するセッション鍵を含む情報パケットのことです。多くの場合、資格は (資格の暗号を解読するかどうかによって) 非公開鍵またはサービス鍵で暗号化されます。

オーセンティケータとは、別の種類の情報です。チケットとともに使用されると、オーセンティケータはユーザープリンシパルを認証するために使用されます。オーセンティケータには、ユーザーのプリンシパル名、ユーザーのホストの IP アドレス、およびタイムスタンプが入っています。チケットとは異なり、オーセンティケータはサービスへのアクセス権が要求されたときに 1 回だけ使用できます。オーセンティケータは、当該クライアントと当該サーバーのセッション鍵で暗号化されます。