Kerberos認証してパソコンとファイルサーバを利用する時のチケット利用の流れ

Active Directoryで利用されているKerberos認証のTGT（Ticket Granting Ticket）やST（Service Ticket）について、考える機会がありましたので自分用に調べた内容をメモとして残しておきたいと思います。
以下URLを十分に参考にさせていただきました。ありがとうございました。

※いろいろなサイトを確認してまとめた個人用メモとなります。
　一部誤りがあるかもしれませんのでご了承ください。

Microsoft Security Response Center

https://msrc-blog.microsoft.com/2016/04/01/hello_passport_scenario_02/

Kerberos の概要とチケット取得の様子を目で確認した結果

https://www.keicode.com/windows/kerberos-basic.php

Kerberos認証の流れ

今回は例としてパソコンへログオン、ログオン後ファイルサーバへアクセスという2つの流れを見ていきたいと思います。
以下、参考図となります。

①パソコンでID、パスワードを入力します。

②認証が成功すると Authentication Service（AS）からTGTが発行されます。

③パソコンログオン用STを取得するため、Ticket Granting Service（TGS）へTGTを提示します。

④パソコンログオン用STが発行されます。

⑤パソコンへSTを提示します。

⑥STが許可され、パソコンへログオンが完了します。

⑦ファイルサーバログオン用STを取得するため、Ticket Granting Service（TGS）へTGTを提示します。

⑧ファイルサーバログオン用STが発行されます。

⑨ファイルサーバへSTを提示します。

⑩STが許可され、ファイルサーバへアクセスが完了します。

以上がKerberos認証のおおまかな流れとなります。STについては、パソコンログオン用やファイルサーバ用とあえて記載しています。これは利用するリソースごとにSTを取得する必要があるためです。

まとめ

Kerberos認証を奥深く調査すればまだまだ細かい情報が出てくると思いますが私の業務としてはひとまずこれくらい理解しておけば大丈夫ですので物足りない記事となりましたがご了承ください。