Kerberos認証の流れ
1.AS Request(SSO可能)
KDC(AS)に対して、TGTの発行を要求
2.AS Response(SSO可能)
要求者が本人であることを確認、TGTを発行
3.TGS Request
リソースにアクセスするために、KDC(TGS)に対して、取得済みのTTをそえてSTを要求
4.TGS Response
アクセスを要求されているリソースの情報を確認、STを発行
5.AP Request
アクセスするリソースへSTを提示して、サービスの利用を要求
6.AP Response
提示されたSTを確認、アクセスを許可。これでKerberos認証完了。
▼詳細
Kerberos(ケルベロス)認証をより直感的に理解するために、
「テーマパークの入園とアトラクション」に例えて解説します。
## わかりやすい例え:ディズニーランドの仕組み
Kerberosのやり取りは、まるで大きなテーマパークで遊ぶ時の流れと同じです。
KDC(チケット売り場): パークの運営事務局
TGT(入園パスポート): 園内ならどこでも持ち歩ける「本人確認済み」の証
ST(アトラクション利用券): 「スプラッシュマウンテン専用」など、特定のリソースに入るための券
リソース(アトラクション): 実際に使いたいサーバーやファイル
## 認証のステップ(ストーリー仕立て)
1 & 2:まずは「入園パスポート(TGT)」をもらう
AS Request / Response
何をしているか: あなたがチケット売り場(AS)に行って、身分証を見せます。
結果: 「よし、君は本人だね」と認められ、TGT(入園パスポート)をもらいます。
これで園内の「中」には入れますが、まだ個別の乗り物には乗れません。
3 & 4:乗りたい物の「利用券(ST)」に引き換える
TGS Request / Response
何をしているか: 園内の案内所(TGS)へ行き、TGT(パスポート)を見せて
「このファイルサーバー(アトラクション)を使いたい」と言います。
結果: 案内所はパスポートを確認し、そのサーバー専用のST(利用券)をくれます。
5 & 6:いよいよ「サービス」を利用する
AP Request / Response
何をしているか: 目的のサーバー(アトラクションの入り口)へ行き、ST(利用券)を見せます。
結果: サーバー側は「その券は本物だね、どうぞ!」と許可し、ついにデータにアクセスできます。
ワンポイント・アドバイス:
「TGT」は「入園パスポート」、「ST」は「各施設の入場チケット」と考えると、
AD(アクティブディレクトリ)の環境でなぜ2種類のチケットが必要なのかがよりスッキリ理解できるはずです。
[0回]
