Microsoft Kerberos

Kerberos プロトコルは、クライアントがネットワーク認証サービスと対話する方法を定義します。 クライアントは、Kerberos キー配布センター (KDC) からチケットを取得し、接続を確立する際にこれらのチケットをサーバーに提示します。 Kerberos チケットは、クライアントのネットワーク 資格情報を表します

このセクションでは、認証プロセスでの Kerberos プロトコルの使用に関する理論上の背景について説明します。 これは、Kerberos バージョン 5 プロトコルを使用する SSPI プロセスでバックグラウンドで何が起こっているかを開発者が理解するために追加できる背景情報です。

Kerberos 認証プロトコルは、セキュリティで保護されたネットワーク接続が確立される前に、エンティティ間の相互認証のメカニズムを提供します。 このドキュメントでは、セキュリティで保護されたネットワーク接続をサーバー間で行うことができる場合でも、2 つのエンティティはクライアントとサーバーと呼ばれます。 クライアントとサーバーの両方を セキュリティ プリンシパルと呼ぶこともできます。

Kerberos プロトコルでは、クライアントとサーバー間のトランザクションは、ほとんどのクライアントと多くのサーバーが物理的に安全ではなく、ネットワークに沿って移動するパケットを監視および変更できるオープン ネットワーク上で行われると想定しています。 想定される環境は、攻撃者がクライアントまたはサーバーとして簡単に攻撃し、正当なクライアントとサーバー間の通信を簡単に盗聴または改ざんできる、今日のインターネットに似ています。

このセクションでは、次の項目について説明します。

アプリケーションは Kerberos セキュリティ パッケージ に直接アクセスしないでください。代わりに、 ネゴシエート セキュリティ パッケージを使用する必要があります。 ネゴシエートを使用すると、認証に関係するシステムでサポートされている場合、アプリケーションはより高度な セキュリティ プロトコル を利用できます。 現在、ネゴシエート セキュリティ パッケージは Kerberos と NTLM の間で選択されます。 ネゴシエートでは、認証に関係するシステムの 1 つで Kerberos を使用できない場合を除き、Kerberos が選択されます。