TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

Active Directoryの認証と承認の違いとは?

f:id:tanigawa:20170916040920j:plain
認証(ドメインコントローラでの初期ログオン)
f:id:tanigawa:20170916040928j:plain
承認(サーバへのアクセス)
出典: http://ascii.jp/elem/000/000/513/513327/


【概要】

■アクセス認証

  1. クライアントでユーザーが入力したパスワードを暗号化
  2. 暗号化したパスワードをドメインコントローラに送信
  3. ドメインコントローラはパスワードをADデータベースと照合
  4. 「有効期限付チケット(TGT)」を発行し、クライアントに送る(パスワードがイッチした場合)

■アクセス承認

  1. ユーザーは、ドメインコントローラにファイルサーバの利用許可を要求(TGTを添付)
  2. ドメインコントローラはTGTを確認
    • TGTにはドメインコントローラしか知らない情報が暗号化されている
  3. ドメインコントローラは、ユーザーに「サービス利用チケット」を送信
    • サービス利用チケットにはファイルサーバのパスワードで暗号化されたデータが含まれる
  4. ユーザーがサービス利用チケットをファイルサーバに提示
    • サービス利用チケットに、ファイルサーバとドメインコントローラしか暗号化できないデータが含まれることを確認

【ニュース】

Active Directoryの認証と承認の違いとは? (ASCII.jp, 2010/04/20 09:00)
http://ascii.jp/elem/000/000/513/513327/


【まとめ】

ケルベロス認証 (まとめ)
http://malware-log.hatenablog.com/entry/Kerberos


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023