認証チケットとは何ですか？

認証チケットは、Kerberosネットワークセキュリティプロトコルのセキュリティコンポーネントです。 2つのコンピューターが互いにアイデンティティを証明できるように、クライアントコンピューターとサーバーの間に渡されたトークン、小さなデータのコレクションとして機能します。 この相互ネットワークの識別を超えて、チケットは、セッションに割り当てられた時間と同様に、クライアントがサーバーとそのサービスにアクセスするための許可をすべて詳しく説明しています。

基本的に2種類の認証チケットがあります。 チケットを入手するためのチケットとも呼ばれるチケット付与チケット（TGT）は、クライアントコンピューターが最初にIDを確立するときに発行される主要なチケットです。 このタイプのチケットは通常、10時間以上長い期間続き、ユーザーがネットワークにログインする期間中はいつでも更新できます。 TGTを使用すると、ユーザーは個々の認証チケットを要求して、ネットワーク上の他のサーバーにアクセスできます。

セッションチケットとも呼ばれるクライアントからサーバーへのチケットは、認証チケットの2番目の形式です。 これは通常、クライアントが特定のサーバー上のサービスにアクセスしたいときに配られる短命のチケットです。 セッションチケットには、クライアントコンピューターのネットワークアドレス、ユーザー情報、チケットが有効な期間が含まれています。 Microsoft's®ActiveDirectory®などのいくつかのKerberosの実装では、紹介チケットと呼ばれる3番目のタイプのチケットも使用できます。 このチケットタイプは、クライアントが独自のドメインとは別のドメインにあるサーバーにアクセスしたい場合に付与されます。

Kerberosチケット付与システムが機能する方法は、認証チケットシステム全体を提供するキーディストリビューションセンター（KDC）として知られる個別のサーバーを使用することです。 このマシンには2つのサブコンポーネントが実行されていますが、最初は本物として知られていますIcation Server（AS）。 ASは、ネットワーク上の他のすべてのコンピューターとユーザーについて知っており、パスワードのデータベースを保持しています。 ユーザーがネットワークにログインすると、ASは彼にTGTを付与します。

ユーザーがネットワーク上のどこかでサーバーにアクセスする必要がある時点で、彼は以前に与えられたTGTを使用し、KDCの第2部からサービスチケットを要求し、チケット付与サーバー（TGS）と呼ばれます。 TGSは、セッションチケットをユーザーに送り返し、ユーザーはそれを使用して要求したサーバーにアクセスできます。 サーバーがセッションチケットを受信すると、そのアイデンティティを確認する別のメッセージをユーザーに送り返し、ユーザーが要求されたサービスにアクセスできるようになります。 紹介チケットの場合、ホームドメインのKDCが代わりに別のネットワークドメインで別のKDCからセッションチケットを要求できる紹介チケットを作成する場合、追加のステップが必要です。 このチケット生成と共有プロセス全体は、すべてのステップで暗号化されます。攻撃者から保護するための長い間、ユーザーを盗聴したり、装ったりする攻撃者。

認証チケット方法の主な欠点は、すべての承認の集中構造です。 攻撃者がKDCにアクセスできる場合、彼は本質的にすべてのユーザーのアイデンティティとパスワードへのアクセスを獲得し、誰にでもなりすまします。 さらに、KDCが利用できなくなった場合、誰もネットワークを使用できません。 別の問題は、チケットの詳細なライフサイクルです。ネットワーク上のすべてのコンピューターがクロックを同期させる必要があります。