Kerberos を使用した相互認証

相互認証は、クライアント プロセスがサービスに対する ID を証明する必要があり、アプリケーション トラフィックがクライアント/サービス接続を介して送信される前に、サービスがその ID をクライアントに証明する必要があるセキュリティ機能です。

Active Directory ドメイン Services と Windows では、サービス プリンシパル名 (SPN) がサポートされています。これは、クライアントがサービスを認証する Kerberos メカニズムの重要なコンポーネントです。 SPN は、サービスのインスタンスを識別する一意の名前であり、サービス インスタンスが実行されるログオン アカウントに関連付けられます。 SPN のコンポーネントは、クライアントがサービス ログオン アカウントなしでサービスの SPN を作成できるようにするものです。 これにより、クライアントがアカウント名を持っていない場合でも、クライアントはサービスにアカウントの認証を要求できます。

このセクションには、次の概要が含まれています。

• Kerberos を使用した相互認証。
• 一意の SPN の作成。
• サービス インストーラーがサービス インスタンスに関連付けられているアカウント オブジェクトに SPN を登録する方法。
• クライアント アプリケーションが Active Directory ドメイン Services のサービス インスタンスのサービス接続ポイント (SCP) オブジェクトを使用して、サービスの SPN を構成するデータを取得する方法。
• クライアント アプリケーションがサービス SPN をセキュリティ サポート プロバイダー インターフェイス (SSPI) と組み合わせて使用してサービスを認証する方法。
• SCP と SSPI を使用して相互認証を実行する Windows ソケット クライアント/サービス アプリケーションのコード例。
• RPC ネーム サービスと RPC 認証を使用して相互認証を実行する RPC クライアント/サービスのコード例。
• Windows ソケット登録および解決 (RnR) サービスが SPN を使用して相互認証を実行する方法。

このセクションでは、相互認証に Active Directory ドメイン Service を使用する方法について説明します。特に、相互認証におけるサービス接続ポイントとサービス プリンシパル名の目的について説明します。 相互認証に SSPI を使用する方法や、RPC および Windows ソケット アプリケーションで使用できる認証とセキュリティのサポートについては、完全には説明しません。

詳細については、以下を参照してください:

• サービス接続ポイントを使用した発行
• SSPI
• Windows ソケット
• RPC