Kerberos認証してパソコンとファイルサーバを利用する時のチケット利用の流れ

 
この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

Active Directoryで利用されているKerberos認証のTGT(Ticket Granting Ticket)やST(Service Ticket)について、考える機会がありましたので自分用に調べた内容をメモとして残しておきたいと思います。
以下URLを十分に参考にさせていただきました。ありがとうございました。

※いろいろなサイトを確認してまとめた個人用メモとなります。
 一部誤りがあるかもしれませんのでご了承ください。

Microsoft Security Response Center

https://msrc-blog.microsoft.com/2016/04/01/hello_passport_scenario_02/

Kerberos の概要とチケット取得の様子を目で確認した結果

https://www.keicode.com/windows/kerberos-basic.php

Kerberos認証の流れ

今回は例としてパソコンへログオン、ログオン後ファイルサーバへアクセスという2つの流れを見ていきたいと思います。
以下、参考図となります。

①パソコンでID、パスワードを入力します。

②認証が成功すると Authentication Service(AS)からTGTが発行されます。

③パソコンログオン用STを取得するため、Ticket Granting Service(TGS)へTGTを提示します。

④パソコンログオン用STが発行されます。

⑤パソコンへSTを提示します。

⑥STが許可され、パソコンへログオンが完了します。

⑦ファイルサーバログオン用STを取得するため、Ticket Granting Service(TGS)へTGTを提示します。

⑧ファイルサーバログオン用STが発行されます。

⑨ファイルサーバへSTを提示します。

⑩STが許可され、ファイルサーバへアクセスが完了します。

以上がKerberos認証のおおまかな流れとなります。STについては、パソコンログオン用やファイルサーバ用とあえて記載しています。これは利用するリソースごとにSTを取得する必要があるためです。

まとめ

Kerberos認証を奥深く調査すればまだまだ細かい情報が出てくると思いますが私の業務としてはひとまずこれくらい理解しておけば大丈夫ですので物足りない記事となりましたがご了承ください。

この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

Copyright© しっぱいはせいこうのもと , 2022 All Rights Reserved.