8.3.4 Kerberos認証システム

Kerberos 認証システムは、MIT(マサチューセッツ工科大学)のAthenaプロジェクトから 生み出された認証システムとそれを支えるコンポーネント全体を指しています。 Kerberos システムはWindowsにも採用されたもので、単なるログインに止まらず、 サービスを受けるために必要な認証全般をサポートしています。その特徴としては、 認証を必要とするユーザやサービスに対して、ユーザの身元を保証することを 可能にし、それによってシングルサインオンを可能としています。 そのために、第三者機関として自らを位置づけており、 ユーザはKerbrosシステムから認証されることで、チケットと呼ばれるサービスを 受けるためのパスワードに代る保証を与えられます(その意味でKerberosシステムとは 身元保証システムと言える)。こうしたメカニズムは、ユーザからは見えないように なっているために、ユーザは最初に一度Kerberosシステムに認証を受ければ、以後 自動的にチケットはやりとりされるようになっています。また、Kerberosの認証センター (KDC)とユーザの間やサービスとKDCの間のネットワーク上をパスワードが 流れる事は全くありません。Kerberos では共通鍵暗号方式を採用し、 version4では DESを採用して いましたが、その後version5では暗号方式はモジュール化され、 より強力な暗号を利用出来るようになっています。

Kerberos の弱点は、KDCにあります。つまり、KDCの安全性がシステム全体の安全性を 保証している点にあり、KDCがクラックされるか、あるいはKDCになりすますことが 行われればシステム全体のセキュリティは崩壊します。 また、Kerberosを導入する際には、全てをKerberosに統一しなければ意味がありません。



Noriyo Kanayama