Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
認証の推移
すでに述べたとおり,ドメインツリーを構成しているドメイン間や,フォレストのルートドメインとドメインツリーのルートドメインとのあいだには,Kerberosによる推移的な信頼関係が結ばれている。KDCの支配領域はActive Directoryのドメインと一致するため,信頼関係を使用して別のドメインのリソースを利用する場合には,Kerberosのクロス領域認証が発生する。このクロス領域認証が,Active Directoryにおける信頼関係の推移の実体である。
クロス認証領域は,クライアントに親領域のパスを提供することで実現される。Kerberosでは,あるKDCの管理する範囲を領域(realm)という。領域内には1つ以上のKDCが含まれ,クライアントに対して認証サービスを提供する。Windows 2000のKerberosの実装では,KDCの支配領域はActive Directoryのドメインと一致しているため,ここでいう「親領域」とは,ドメインツリーであれば自分の親ドメインやドメインツリーのルートドメインであり,フォレスト内のドメインツリー間であればフォレストのルートドメインである。たとえば,active.dsl.local.ドメインをルートドメインとするドメインツリーがあるとする。このとき,subdomain.active.dsl.local.ドメインに属するクライアントがsubdomain2.active.dsl.local.ドメインのリソースへとアクセスしようとした場合,各ドメインには直接的な信頼関係が存在しないため,まず,信頼関係が結ばれている親領域であるactive.dsl.local.ドメインへのパスが提供される。そのあと,active.dsl.local.ドメインのKDCからsubdomain2.active.dsl.local.ドメインへのパスが提供され,初めて目的のドメインへのアクセスが許可されるのである。同じことは,フォレスト内のドメインツリー同士の信頼関係でも発生する。クロス領域認証の挙動をFig.6にまとめておこう。
- クライアントは,自分の所属しているsubdomain.active.dsl.local.ドメインのKDCにTGS要求を送信する。subdomain.active.dsl.local.ドメインのKDCは,対象リソースのコンピュータが自分の管理している領域に存在しないので,親領域であるactive.dsl.local.ドメインのセッション鍵で応答する
- クライアントは,active.dsl.local.ドメインのKDCに対してTGS要求を送信する。active.dsl.local.ドメインは,subdomain2.active.dsl.local.ドメインのセッション鍵で応答する
- クライアントは,subdomain2.active.dsl.local.ドメインのKDCに対してTGS要求を送信する。subdomain2.active.dsl.local.ドメインは,自分の管理している領域のコンピュータに対する要求なので,TGS応答を返す
- クライアントは,AP要求を対象リソースに送信し,対象リソースからAP応答を受け取る
対象リソースからAP応答を受け取ることにより,クライアントのユーザーによるアクセスが許可されたことがわかる。このように,Active Directoryの推移的な信頼関係は,Kerberosのクロス領域認証を利用して実現されている。
 |
7/17 |  |
