Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
まず,Kerberosを利用してログオンする場合の仕組みを説明する。
ドメインにログオンするためには,次のようなステップが必要になる。
- AS要求
- クライアントは,ユーザー名とドメイン名を指定した最初の要求を,ASであるKDCに送信する。
- AS応答
- KDCは,クライアントの親鍵で暗号化した応答をクライアントに返す。この応答には,(1)
セッション鍵,(2) KDCの親鍵で暗号化されたTGT(Ticket-Granting Ticket),の2つが含まれる。
- TGS要求
- クライアントは,受け取った応答を復号化し,セッション鍵とTGTを入手する。そのあと,ローカルシステムへのアクセス権を得るために,(1) ユーザー名とドメイン名,(2) ログオンするクライアントのコンピュータ名,(3) TGTを含んだTGS要求,をKDCに送信する。
- TGS応答
- KDCは,クライアントの親鍵で暗号化されたコンピュータのチケットなどを応答として返す。
クライアントは,TGS応答を受け取ることにより,コンピュータへのログオンが許可されたことがわかる。これにより,ドメインへのログオンは完了する。
次に,リソースを利用する場合のステップを説明する。リソースを利用する場合には,次のようなステップが必要になる。
- TGS要求
- 対象となるリソースにアクセスするために必要なチケットを要求するため,クライアントは,(1) ユーザー名,(2) 対象となるリソースのコンピュータ名,(3)ログオン時に取得したTGT,の3つをTGSであるKDCに送信する。
- TGS応答
- KDCは,(1) 対象となるリソースのチケット,(2) 対象となるリソースとのあいだでクライアントが使用するセッション鍵,の2つをクライアントに返す。
- AP要求
- クライアントは,(1) 対象となるリソースのチケット,(2) その時点の時刻を含む証明書,の2つをセッション鍵で暗号化し,対象リソースにAP要求(Application Request)として送信する。
- AP応答
- 対象となるリソースは,受け取ったAP要求を復号化し,チケットと時刻を取得する。そして,受け取った時刻を暗号化し,AP応答としてクライアントに返す。
AP応答を受信することにより,クライアントは対象となるリソースへのアクセスが許可されたことがわかる。
6/17 |