認証チケットとは何ですか?
認証チケットは、Kerberosネットワークセキュリティプロトコルのセキュリティコンポーネントです。 これは、クライアントコンピューターとサーバー間で渡されるトークンのようなもの、小さなデータの集まりとして機能し、2台のコンピューターが互いに身元を証明できるようにします。 この相互ネットワーク識別を超えて、チケットは、サーバーとそのサービスにアクセスするためにクライアントが持つすべての許可、およびセッションに割り当てられた時間も詳述します。
認証チケットには基本的に2つのタイプがあります。 チケットを取得するチケットとも呼ばれるチケット許可チケット(TGT)は、クライアントコンピューターが最初にIDを確立するときに発行されるプライマリチケットです。 このタイプのチケットは通常、10時間以上の長い期間続き、ユーザーがネットワークにログオンしている期間中いつでも更新できます。 TGTを使用すると、ユーザーは個々の認証チケットを要求して、ネットワーク上の他のサーバーにアクセスできます。
セッションチケットとも呼ばれるクライアントからサーバーへのチケットは、認証チケットの2番目の形式です。 これは通常、クライアントが特定のサーバー上のサービスにアクセスすることを望む場合に渡される短命のチケットです。 セッションチケットには、クライアントコンピューターのネットワークアドレス、ユーザー情報、およびチケットが有効な期間が含まれています。 Microsoft®ActiveDirectory®などの一部のKerberos実装では、紹介チケットと呼ばれる3番目のタイプのチケットも使用できます。 このチケットタイプは、クライアントが、独自のドメインとは別のドメインにあるサーバーにアクセスする場合に許可されます。
Kerberosチケット付与システムが機能する方法は、認証チケットシステム全体を提供する、キー配布センター(KDC)と呼ばれる別のサーバーを使用することです。 このマシンには2つのサブコンポーネントが実行されており、最初のサブコンポーネントは認証サーバー(AS)として知られています。 ASは、ネットワーク上の他のすべてのコンピューターとユーザーを認識し、パスワードのデータベースを保持します。 ユーザーがネットワークにログオンすると、ASはユーザーにTGTを付与します。
ユーザーがネットワーク上のどこかのサーバーにアクセスする必要がある時点で、ユーザーは以前に指定されたTGTを使用し、チケット許可サーバー(TGS)と呼ばれるKDCの2番目の部分からサービスチケットを要求します。 TGSはセッションチケットをユーザーに送り返し、ユーザーはそれを使用して要求したサーバーにアクセスできます。 サーバーはセッションチケットを受信すると、ユーザーに別のメッセージを送り返し、その身元と、ユーザーが要求されたサービスへのアクセスを許可されていることを確認します。 紹介チケットの場合、ホームドメインのKDCが代わりに紹介チケットを作成し、クライアントが別のネットワークドメイン上の別のKDCからセッションチケットを要求できるようにする追加の手順が必要です。 このチケット生成および共有プロセス全体は、攻撃者がユーザーを盗聴または偽装するのを防ぐために、途中のすべてのステップで暗号化されます。
認証チケット方式の主な欠点は、すべての承認の集中化された構造です。 攻撃者がKDCへのアクセスに成功した場合、基本的にすべてのユーザーIDとパスワードへのアクセスを取得し、だれでも偽装できます。 さらに、KDCが使用できなくなった場合、誰もネットワークを使用できなくなります。 もう1つの問題は、チケットの詳細なライフサイクルであり、ネットワーク上のすべてのコンピューターのクロックを同期させる必要があります。