Oracle® Solaris 11.2 での Kerberos およびその他の認証サービスの管理

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

初期認証: チケット認可チケット (TGT)

Kerberos 認証には、すべての後続の認証を有効にする初期認証と、後続の認証自体の 2 つのフェーズがあります。

次の図では、初期認証の手順を示します。

図 2-1  Kerberos セッションの初期認証

image:クライアントは、まず KDC に TGT を要求し、次に KDC から受け取った TGT を復号化します。

  1. クライアント (ユーザー、または NFS などのサービス) は、KDC に TGT を要求して Kerberos セッションを開始します。ほとんどの場合、この要求はログイン時に自動的に実行されます。

    TGT は、ほかの特定のサービスのチケットを取得するために必要です。TGT は、パスポートに似ています。パスポートと同様に、チケット認可チケットはユーザーを識別し、ユーザーが多数の「ビザ」(チケット) を取得できるようにします。これらのチケットは、外国へのアクセスを許可する代わりに、ユーザーがリモートマシンやネットワークサービスにアクセスできるようにします。パスポートやビザと同様に、TGT などのチケットには有効期限があります。ただし、Kerberos コマンドは、ユーザーがパスポートを所有していることを通知し、ユーザーに代わってビザを取得します。ユーザー自身がトランザクションを実行する必要はありません。

    チケット認可チケットに類似した例として、4 つのスキー場で使える 3 日間のスキーパスを挙げます。ユーザーは、そのパスの期限が切れていないかぎり、行くと決めたどのリゾート地でもこのパスを見せ、そのリゾート地のリフトチケットを受け取ります。リフトチケットを入手したら、そのスキー場で好きなだけスキーをすることができます。次の日に別のリゾート地に行った場合は、またこのパスを見せ、その新しいリゾート地のリフトチケットを追加で受け取ります。違いは、Kerberos に基づくコマンドの場合は週末のスキーパスがあることに気付き、ユーザーに代わってリフトチケットを入手するため、ユーザーがこれらのトランザクションを自分で実行する必要がない点です。

  2. KDC は、チケット認可チケットを作成し、それを暗号化された形式でクライアントに戻します。クライアントは、自身のパスワードを使用して TGT を復号化します。

  3. これで有効なチケット認可チケットを取得できたため、クライアントはそのチケット認可チケットが有効であるかぎり、すべての種類のネットワーク操作 (nfsssh など) のチケットをリクエストできます。この TGT の有効期限は通常、数時間です。クライアントは一意のネットワーク操作を実行するたびに、TGT は KDC にその操作のチケットを要求します。

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ