Kerberos Authentication OverviewKerberos Authentication Overview

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。Kerberos is an authentication protocol that is used to verify the identity of a user or host. このトピックには、Windows Server 2012 および Windows 8 での Kerberos 認証に関する情報が含まれています。This topic contains information about Kerberos authentication in Windows Server 2012 and Windows 8.

機能の説明Feature description

Windows Server オペレーティング システムには、公開キー認証、承認データの転送、委任のために、Kerberos Version 5 認証プロトコルと拡張機能が実装されています。The Windows Server operating systems implement the Kerberos version 5 authentication protocol and extensions for public key authentication, transporting authorization data, and delegation. Kerberos 認証クライアントはセキュリティサポートプロバイダー SSP として実装され、 ( ) セキュリティサポートプロバイダーインターフェイス SSPI を使用してアクセスでき ( ) ます。The Kerberos authentication client is implemented as a security support provider (SSP), and it can be accessed through the Security Support Provider Interface (SSPI). 初期のユーザー認証は、Winlogon シングルサインオンアーキテクチャと統合されてい - ます。Initial user authentication is integrated with the Winlogon single sign-on architecture.

Kerberos キー配布センター ( KDC ) は、ドメインコントローラー上で実行される他の Windows Server セキュリティサービスと統合されています。The Kerberos Key Distribution Center (KDC) is integrated with other Windows Server security services that run on the domain controller. KDC は、そのセキュリティアカウントデータベースとしてドメインの Active Directory Domain Services データベースを使用します。The KDC uses the domain's Active Directory Domain Services database as its security account database. ドメインまたはフォレスト内の既定の Kerberos 実装には、Active Directory ドメイン サービスが必要です。Active Directory Domain Services is required for default Kerberos implementations within the domain or forest.

実際の適用例Practical applications

ドメインベースの認証に Kerberos を使用すると、次の利点 - が得られます。The benefits gained by using Kerberos for domain-based authentication are:

  • 委任された認証。Delegated authentication.

    Windows オペレーティングシステムで実行されるサービスは、クライアントの代わりにリソースにアクセスするときに、クライアントコンピューターの権限を借用できます。Services that run on Windows operating systems can impersonate a client computer when accessing resources on the client's behalf. 多くの場合、サービスは、ローカル コンピューター上のリソースにアクセスしてクライアントに対する処理を完了できます。In many cases, a service can complete its work for the client by accessing resources on the local computer. クライアント コンピューターがサービスに対して認証を行うとき、NTLM と Kerberos プロトコルは、サービスがクライアント コンピューターをローカルに偽装するために必要な承認情報を提供します。When a client computer authenticates to the service, NTLM and Kerberos protocol provide the authorization information that a service needs to impersonate the client computer locally. ただし、一部の分散アプリケーションは、フロント - エンドサービスが - 他のコンピューター上のバックエンドサービスに接続するときに、クライアントコンピューターの id を使用する必要があるように設計されています。However, some distributed applications are designed so that a front-end service must use the client computer's identity when it connects to back-end services on other computers. Kerberos 認証は、サービスがクライアントの代わりとして他のサービスに接続できる委任メカニズムをサポートしています。Kerberos authentication supports a delegation mechanism that enables a service to act on behalf of its client when connecting to other services.

  • シングルサインオン。Single sign on.

    ドメイン内またはフォレスト内で Kerberos 認証を使用すると、ユーザーまたはサービスは、管理者によって許可されたリソースに、資格情報を繰り返し要求されることなくアクセスできます。Using Kerberos authentication within a domain or in a forest allows the user or service access to resources permitted by administrators without multiple requests for credentials. 最初に Winlogon を使用してドメインにサインオンした後は、フォレスト内でリソースへのアクセスが試行されるたびに、Kerberos が資格情報を管理します。After initial domain sign on through Winlogon, Kerberos manages the credentials throughout the forest whenever access to resources is attempted.

  • 相互運用性。Interoperability.

    Microsoft による Kerberos V5 プロトコルの実装は、 - インターネット技術標準化委員会に推奨される標準のトラック仕様に基づいてい ( ) ます。The implementation of the Kerberos V5 protocol by Microsoft is based on standards-track specifications that are recommended to the Internet Engineering Task Force (IETF). そのため、Windows オペレーティング システムでは、Kerberos プロトコルが認証に使用される他のネットワークとの相互運用性に対しては、Kerberos プロトコルが基盤になります。As a result, in Windows operating systems, the Kerberos protocol lays a foundation for interoperability with other networks in which the Kerberos protocol is used for authentication. さらに、Microsoft は、Kerberos プロトコルを実装するために Windows プロトコルのドキュメントを公開しています。In addition, Microsoft publishes Windows Protocols documentation for implementing the Kerberos protocol. このドキュメントには、 - Microsoft による Kerberos プロトコルの実装に関する技術的な要件、制限事項、依存関係、および Windows 固有のプロトコルの動作が含まれています。The documentation contains the technical requirements, limitations, dependencies, and Windows-specific protocol behavior for Microsoft's implementation of the Kerberos protocol.

  • サーバーに対するより効率的な認証。More efficient authentication to servers.

    Kerberos の前は NTLM 認証を使用できましたが、アプリケーション サーバーはすべてのクライアント コンピューターやサービスを認証するためにドメイン コント ローラーに接続する必要がありました。Before Kerberos, NTLM authentication could be used, which requires an application server to connect to a domain controller to authenticate every client computer or service. Kerberos プロトコルでは、更新可能なセッションチケットはパススルー認証に置き換えら - れます。With the Kerberos protocol, renewable session tickets replace pass-through authentication. (権限属性証明書 PAC を検証する必要がない限り、サーバーはドメインコントローラーにアクセスする必要はありません ( ) ) 。The server is not required to go to a domain controller (unless it needs to validate a Privilege Attribute Certificate (PAC)). その代わりに、サーバーは、クライアント コンピューターから提示された資格情報を調べてクライアントを認証できます。Instead, the server can authenticate the client computer by examining credentials presented by the client. クライアント コンピューターは特定のサーバーに対する資格情報を一度入手したら、それをネットワーク ログオン セッション全体で再利用できます。Client computers can obtain credentials for a particular server once and then reuse those credentials throughout a network logon session.

  • 相互認証。Mutual authentication.

    Kerberos プロトコルを使用すると、ネットワーク接続の一方のエンティティは、相手側が本物のエンティティであることを検証できます。By using the Kerberos protocol, a party at either end of a network connection can verify that the party on the other end is the entity it claims to be. NTLM では、クライアントがサーバーの id を検証したり、サーバーが別のサーバーの id を確認できるようにしたりすることはできません。NTLM does not enable clients to verify a server's identity or enable one server to verify the identity of another. NTLM 認証は、サーバーが本物であることが前提となっているネットワーク環境向けの方式でした。NTLM authentication was designed for a network environment in which servers were assumed to be genuine. Kerberos プロトコルにはこのような前提はありません。The Kerberos protocol makes no such assumption.

参照See Also

Windows 認証の概要Windows Authentication Overview