目次
Kerberos は、安全でないネットワークで個人通信を安全な方法で認証するために使用されるコンピュータ ネットワーク認証プロトコルです。この用語は、マサチューセッツ工科大学がこのプロトコルのために開発した一連のコンピューター ソフトウェアを指します。
ケルベロス
Kerberos は、暗号化されたチケットに基づく認証プロトコルです。Kerberos は主に、キー配布センター (KDC)、クライアント、サービスの 3 つの部分で構成されています。おおよその関係を次の図に示します。
ケルベロスモデル
Needham-Schroeder の信頼できるサードパーティ プロトコルに基づいて、DES 暗号化 (他のアルゴリズムも使用可能) を使用して、ネットワーク上の各エンティティと異なる秘密キーを共有し、秘密キーを知っていることが ID の証明となります。
Kerberos にはすべてのクライアントと秘密鍵のデータベースがあり、Kerberos は全員の秘密鍵を知っているため、あるエンティティが別のエンティティの身元を確認するというメッセージを生成できます。Kerberos は、1 つのクライアントと 1 つのサーバー (または 2 つのクライアント) のみが使用するセッション キーを生成することもできます。セッション キーは 2 者間の通信メッセージを暗号化するために使用され、セッション キーは通信の完了後に破棄されます。
Kerberos プロトコルは次のとおりです。
-
クライアントは、チケット認可サービス(TGS、チケット認可サービス)としてKerberos にチケット認可チケット (TGT、チケット認可チケット) を要求します。チケットはユーザーの秘密キーで暗号化されてユーザーに送信されます。
-
特定のサーバーを使用するには、クライアントはTGS にチケットをリクエストする必要があり、TGS はチケットをクライアントに送り返します。
-
クライアントはこのチケットをサーバーと認証システムに提示し、クライアントの ID に問題がある場合、サーバーはクライアントにサービスへのアクセスを許可します。
3. Kerberos の基本概念
3.1 基本概念
- 校長: これは、大まかに言うと、Kerberos 世界でのユーザー名であり、身元を識別するために使用されます。プリンシパルは主に、プライマリ、インスタンス (オプション)、およびレルムの 3 つの部分で構成されます。インスタンスを含むプリンシパルは通常、NameNode、HiverServer2、Presto Coordinator などのサーバー側のプリンシパルとして使用され、インスタンスを含まないプリンシパルは通常、クライアントのプリンシパルとして使用されます。本人認証。以下の図に例を示します。
- キータブ:「パスワード」。ユーザーが認証に使用できる、複数のプリンシパルとパスワードを含むファイル。
- チケット キャッシュ: クライアントが KDC と対話した後、ID 認証情報を含むファイルは短期間有効であり、常に更新する必要があります。
- レルム: Kerberos システム内の名前空間。さまざまな Kerberos 環境はレルムによって区別できます。
3.2 KDC
Kerberos の中核コンポーネントであるキー配布センター (KDC) は、主に次の 3 つの部分で構成されます。
- Kerberos データベース: レルム内のすべてのプリンシパル、パスワード、およびその他の情報が含まれます。(デフォルト: BerkeleyDB)
- 認証サービス (AS): ユーザー情報の認証を実行し、クライアントにチケット認可チケット (TGT) を提供します。
- チケット認可サービス (TGS): TGT と認証子を検証し、サービス チケットをクライアントに提供します。
4. ケルベロスの原理
Kerberos の原理を深く理解する前に、理解を助けるために Kerberos プロトコルの主要な前提をいくつか紹介します。
1. Kerberos は、パスワードの代わりにチケットに基づいて ID 認証を実装します。クライアントがローカル キーを使用して KDC から返された暗号化されたチケットを復号化できない場合、認証は失敗します。
2. クライアントは、認証サービス、チケット認可サービス、およびターゲット サービスと順番に対話し、合計 3 つの対話を行います。
3. クライアントが他のコンポーネントと対話するとき、クライアントは2 つの情報を取得します。1 つはローカル キーで復号化でき、もう 1 つは復号化できません。
4. クライアントがアクセスしたいターゲット サービスは、KDC と直接対話しませんが、クライアントのリクエストを正しく復号化できるかどうかによって認証されます。
5. KDC データベースには、すべてのプリンシパルに対応するパスワードが含まれています。
6. Kerberos での情報暗号化方式は、通常、対称暗号化です(非対称暗号化として構成できます)。
次に、http サービスにアクセスするクライアントを例として、認証プロセス全体を説明します。
4.1 クライアントと認証サービス
最初のステップで、クライアントはkinit USERNAMEクライアント ID、ターゲット HTTP サービス ID、ネットワーク アドレス (複数のマシンの IP アドレスのリストである場合がありますが、任意のマシンで使用する場合は空である可能性があります) を、またはその他の手段で渡します。 、および TGT 有効期間の存続期間などの情報が認証サービスに送信されます。
2 番目のステップでは、認証サーバーはクライアント ID が KDC データベースにあるかどうかを確認します。
認証サーバーのチェック操作が正常であれば、KDC はクライアントがチケット認可サービス (TGS) と通信するためのキーをランダムに生成します。このキーは一般に TGS セッション キーと呼ばれます。次に、認証サーバーは2 つのメッセージをクライアントに送信します。概略図は次のとおりです。
メッセージの 1 つは TGT と呼ばれ、TGS のキーで暗号化されており、クライアント ID、TGS セッション キー、その他の情報をクライアントが復号化することはできません。もう 1 つのメッセージはクライアント キーによって暗号化されており、クライアントはターゲット HTTP サービス ID、TGS セッション キー、その他の情報を含めて通常どおり復号化できます。
3 番目のステップでは、クライアントはローカル キーを使用して 2 番目のメッセージを復号化します。ローカルキーで情報を復号化できない場合、認証は失敗します。概略図は次のとおりです。
4.2 クライアントおよびチケット交付サービス
この時点で、クライアントは TGT (ローカルに TGS キーがないため、データを復号化できません) と TGS セッション キーを持っています。
4 番目のステップでは、クライアントは次のことを行います。
- 「Brainless」は、AS によって送信された TGT ( TGS キーによって暗号化された) を TGS に転送します。
- 独自の情報を含む認証子 ( TGS セッション キーで暗号化された)を TGS に送信します
5 番目のステップでは、TGS は独自のキーを使用してTGT からのTGS セッション キーを復号化し、次にTGS セッション キーを使用してオーセンティケータからのクライアントの情報を復号します。
4.3 クライアントとHTTPサービス
この時点で、クライアントは HTTP チケット (ローカルに HTTP サービスのキーがないため、データを復号化できない) と HTTP セッション キーを持っています。
7 番目のステップでは、クライアントは次のことを行います。
- 「Brainless」は、AS によって送信された HTTP チケット ( HTTP キーによって暗号化された) をターゲットの http サービスに転送します。
- 独自の情報を含む認証子 ( HTTP セッション キーで暗号化された)を http サービスに送信します。
5. ケルベロスの利点
- パスワードをネットワーク経由で送信する必要はありません。ID 認証はチケットに基づいて実装され、キーのセキュリティが確保されます。
- 双方向認証。認証プロセス全体で、クライアントを認証する必要があるだけでなく、アクセスするサービスも認証する必要があります。
- ハイパフォーマンス。クライアントが特定のサーバーへのアクセスに使用されたチケットを取得すると、サーバーは KDC が再度参加することなく、チケットに基づいてクライアントを検証できます。