Kerberos認証

Kerberos認証（ケルベロス）とは、ネットワーク認証手段の一つです。ケルベロスの語源は、ギリシャ神話の「地獄の番犬ケルベロス」に由来します。
Kerberos認証とは、サーバーとクライアントの間で、身元認証で利用されるプロトコルです。サーバーとクライアントの相互認証に加え、両者間の通信を保護するために暗号化が可能です。

Kerberos認証を利用すると、IDとパスワードによる認証に成功するとチケットが発行され、チケットの有効期限が切れるまでの間はIDとパスワードの認証が不要になります。Kerberos認証はマイクロソフトの「Active Directory」でも利用される認証方式で、Mac OSの認証方式としても採用されています。

Kerberos認証を理解するうえで、以下の構成要素の知識が必要です。

KDC（Key Distribution Center）：サーバーとクライアントに関する情報を一元管理するデータベース
AS（Authentication Server）：クライアントの認証を受ける認証サーバー
TGS（Ticket Granting Server）：KDCに登録したサーバーを利用できるチケットを発行するサーバー
TGT（Ticket Granting Ticket）：チケットを発行するもとになるチケット
プリンシパル（principal）：KDCが識別するユーザー、サーバー
レルム（realm）：KDCの配下にあるシステムをグループとして定義する論理ネットワーク

クライアントがKerberos認証を利用する際、正しいIDとパスワードをASに送信し、認証されるとTGSからチケットというデータを受け取ります。さらに、認証の際にチケットを使用することで、サーバーはアクセス権をチケットで確認するという流れです。認証にチケットを用いることで、IDとパスワードの漏えいを防止できます。