Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
信頼関係パス
これまで,自動的に結ばれる信頼関係は,Kerberosに基づく推移的で双方向なものであると述べてきた。ここでは,その信頼関係がどのように推移するのかを説明する。
信頼関係のパスは,ドメインツリーのルートドメインやフォレストのルートドメインを起点としている。Fig.1で示したactive.dsl.local.ドメインをルートドメインとするドメインツリーを例に説明しよう。subdomain.active.dsl.local.ドメインに所属するクライアントからsubdomain2.active.dsl.local.ドメインのリソースにアクセスしようとした場合,まず,Kerberosの親領域であるactive.dsl.local.ドメインに対するTGT(チケット認可チケット)がsubdomain.active.dsl.local.ドメインのドメインコントローラから提供される。次に,親領域が目的のリソースを管理しているsubdomain2.active.dsl.local.ドメインへのパスを提供する。その結果,信頼関係が成立している。
この推移関係を説明するため,リソースにアクセスしたときにどのようにKerberos認証が実施されているのかを説明しよう。
Kerberos認証
Kerberosサービスは,Windows 2000のすべてのドメインコントローラにインストールされる。このサービスは,親鍵(Master Key)を使用して,クライアントを認証したりリソースを利用したりするためのチケットを発行する。このように,親鍵を集中管理してKerberosのサービスを実際に提供する機構を「KDC(Key Distribution Center)」と呼ぶ。Windows 2000の場合には,すべてのドメインコントローラ上で動作しているKerberosサービスが,KDCの機能を提供する。
KDCによって支配されている領域(KDCが親鍵を管理している領域)は,「Realm(レルム)」と呼ばれる。Windows 2000のKerberosサービスでは,Realmがドメインと対応している。つまり,KDCの支配領域とActive Directoryのドメインは一致する。また,Kerberosでは,ネットワークにログオンする段階でAS(Authentication Server)に,リソースにアクセスする段階でTGS(Ticket-Graning Server)に,それぞれアクセスする必要がある。この2つのサーバーは,論理的には異なるサーバーで提供されるものであるが,Windows 2000のKerberosサービスではASとTGSの両方をKDCが兼務する。つまり,KDCがASであり,TGSでもある。本稿中では,KDC,AS,TGSの三者をまとめて「KDC」と総称する。
 |
5/17 |  |
