Kerberos 概要

Kerberos は、信頼されたサードパーティを使用して TCP/IP ネットワーク上で安全な通信を実現するプロトコルです。このプロトコルは、プレーンテキストのパスワードではなく、暗号化されたチケットを使用してより安全にネットワーク認証を行います。

ユーザはワークステーションにログオンする場合に、信頼されたサードパーティである Key Distribution Center (KDC) によっても認められたパスワード (秘密鍵) を使用します。KDC は、ユーザを認証し、発券許可チケット (TGT) を発行します。ユーザは、Kerberos 対応のサーバにアクセスする必要が生じると、この TGT が有効であるかぎり、サービスチケットを要求して取得することができます。クライアントの認証に加えて、サーバの認証とデータストリームの暗号化を行うように Kerberos 接続を構成することもできます。Kerberos のセキュリティ方式では、次のようなコンポーネントが相互に作用します。

• KDC (Key Distribution Center: 鍵配布センター)。ユーザを認証したり、Kerberos 対応サービスのチケットを発行したりします。
• ユーザがアクセスする Kerberos 対応サーバアプリケーション (Kerberos 対応サーバは、ホストマシン上で実行する telnetd や ftpd などのサーバデーモンです)。
• 認証を要求し、サーバアプリケーションへのアクセスをユーザに許可する Kerberos 対応クライアントアプリケーション。ほとんどの Reflection アプリケーションには Kerberos クライアントサービスが含まれるため、このドキュメントでは、こうしたアプリケーションを総称して「Reflection Kerberos クライアント」と呼びます (Reflection Kerberos クライアントの Kerberos 設定を Reflection Kerberos マネージャを使用して構成および管理できます。ただし、これは必須ではありません)。

データ暗号化の規格

Reflection Kerberos は、以下のデータ暗号化規格に対応しています。

• DES (56 ビット)
• TripleDES (168 ビット)