認証(ドメインコントローラでの初期ログオン)
承認(サーバへのアクセス)
出典: http://ascii.jp/elem/000/000/513/513327/
【概要】
■アクセス認証
- クライアントでユーザーが入力したパスワードを暗号化
- 暗号化したパスワードをドメインコントローラに送信
- ドメインコントローラはパスワードをADデータベースと照合
- 「有効期限付チケット(TGT)」を発行し、クライアントに送る(パスワードがイッチした場合)
■アクセス承認
- ユーザーは、ドメインコントローラにファイルサーバの利用許可を要求(TGTを添付)
- ドメインコントローラはTGTを確認
- TGTにはドメインコントローラしか知らない情報が暗号化されている
- ドメインコントローラは、ユーザーに「サービス利用チケット」を送信
- サービス利用チケットにはファイルサーバのパスワードで暗号化されたデータが含まれる
- ユーザーがサービス利用チケットをファイルサーバに提示
- サービス利用チケットに、ファイルサーバとドメインコントローラしか暗号化できないデータが含まれることを確認
【ニュース】
◆Active Directoryの認証と承認の違いとは? (ASCII.jp, 2010/04/20 09:00)
http://ascii.jp/elem/000/000/513/513327/
【まとめ】
◆ケルベロス認証 (まとめ)
http://malware-log.hatenablog.com/entry/Kerberos