5分で分かった気になる   かもしれない   Kerberos認証2011.02.05 第55回CLR/H勉強会        @kamebuchi
自己紹介O Twitter: @kamebuchiO Blog: http://buchizo.wordpress.com/O クラウド上にActive Directory構築したりする普通 なWindows Azure使いで、本州から来ました...
その前に(c) Copyright 2011, Keiji Kamebuchi, All right reserved   3
Kerberosとは何かO 安全で  O ネットワーク上にパスワードを流したりしない  O 暗号化されてるO シングルサインオンができて  O 一度ログオンすれば透過的にアクセスできるO 信頼できる第三者機関で  O 全ての認証を集中化できるO...
構成要素:3つのA                                                                       身元確認                                      ...
構成要素:用語とパズルO KDC=Key Distribution Center:鍵配布センター  O 暗号化鍵・プリンシパルのデータベース  O 認証サーバー    O 暗号化されたチケット交付チケット(TGT)を発行  O チケット交付サー...
構成要素:用語とパズルO チケット  O 暗号化されたセッション毎の一意なデータ構造  O KDCが発行する  O 最終的な身元の確認と通信用の暗号化鍵の確立(短期)  O 以下の情報をまとめたもの    O 要求元プリンシパル名    O 対...
構成要素:用語とパズルO DNS  O レルムを管理したりKDCを検索したりいろいろO 時刻同期  O 前後5分ずれるとNG!!(大事!)O ネットワーク  O UDP/88 TCP/88 TCP/749 UDP/4444 UDP/444  O...
ざっくりまとめると時刻同期                                                                        委任                                   ...
余談:PKIとは違うの?O PKI(公開鍵基盤)とは別物  O PKIは、「身分を証明するための証明書を扱うための基盤」  O 身分の証明書=公開鍵  O 認証/認可/監査は別の仕組み  O 身分証明がはっきりしたほうがいい場合に利用     ...
Microsoftでの実装O Windows 2000 以降で標準対応(Kerberos v5)O KDC = Active Directory ドメインコントローラーO 意識しなくてもActive Directoryドメイン配下は  Kerb...
相互運用O Microsoft以外でももちろんKerberos認証可能  O WebLogic Serverとか  O Firefoxとか(SPNEGO使えるはず)  O KDCもあるよ  O MacintoshもO 相互運用はちと手間  O ...
活用例O Kerberosが威力を発揮するのは  O 委任によるシングルサインオン       O 認証情報の引き継ぎO WindowsでNTLMだと何がダメ?  O よくあるのがダブルホップ問題 (c) Copyright 2011, Kei...
ダブルホップとKerberos    O NTLMの場合                                                    DBサーバー(2) WCF Data ServicesへアクセスWindows統合認...
ダブルホップとKerberos    O Kerberosの場合                                                                   DBサーバー(2) WCF Data Serv...
やってみた   O ただやるだけだと面白くない   O せっかくだからWindows Azure Connect で OnPremise と連携        Active Directory ドメイン                     ...
やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved   17
やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved   18
やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved   19
やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved   20
やってみた                                                          サービスアカウントがもっている                                            ...
やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved   22
やってみた                                                          発行されたチケット(c) Copyright 2011, Keiji Kamebuchi, All right res...
やってみた                                                          ドメインコントローラーとWebRoleと                                       ...
やってみた                                                          LogonTypeが3は                                               ...
まとめO Kerberosはいろいろ大きめの認証基盤O 理解は難しいが、ある程度知っていれば得られるものは大きいO クラウド時代でも、まぁ使えないことはないO Active Directoryをもっと活用しよう            Micro...
AppendixO Kerberos ネットワーク認証サービス v5 (RFC1510)  O   http://www.ipa.go.jp/security/rfc /RFC1510-00JA.htmlO Kerberos Authentic...
Upcoming SlideShare
Loading in...5
×

Clrh55_LT_kamebuchi_public

2,384

Published on

第55回 CLR/H 勉強会 ライトニングトーク - 5分でわかった気になるかもしれないKerberos認証

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,384
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Clrh55_LT_kamebuchi_public

  1. 1. 5分で分かった気になる かもしれない Kerberos認証2011.02.05 第55回CLR/H勉強会 @kamebuchi
  2. 2. 自己紹介O Twitter: @kamebuchiO Blog: http://buchizo.wordpress.com/O クラウド上にActive Directory構築したりする普通 なWindows Azure使いで、本州から来ました。 Windows 2000 Server発売時から関わり続けて きたKerberos認証を、自分が作ったアンドロイドを 育てたような気分で紹介したり、洗浄したり、VerUp したいと思います!(にゃ! (c) Copyright 2011, Keiji Kamebuchi, All right reserved 2
  3. 3. その前に(c) Copyright 2011, Keiji Kamebuchi, All right reserved 3
  4. 4. Kerberosとは何かO 安全で O ネットワーク上にパスワードを流したりしない O 暗号化されてるO シングルサインオンができて O 一度ログオンすれば透過的にアクセスできるO 信頼できる第三者機関で O 全ての認証を集中化できるO 相互認証ができるしくみ O サーバー/クライアントどちらも相互に正当かどうか確認できる (c) Copyright 2011, Keiji Kamebuchi, All right reserved 4
  5. 5. 構成要素:3つのA 身元確認 ID/Password 生体認証 Authentication 認証 認証ログアクセスログ 反応型 許可/拒否 ACL Auditing Authorization 監査 認可(c) Copyright 2011, Keiji Kamebuchi, All right reserved 5
  6. 6. 構成要素:用語とパズルO KDC=Key Distribution Center:鍵配布センター O 暗号化鍵・プリンシパルのデータベース O 認証サーバー O 暗号化されたチケット交付チケット(TGT)を発行 O チケット交付サーバー O 要求元にチケットを発行O プリンシパル(Principal:主) O ユーザー・サービス・ホストの一意な情報O レルム(Realm:領域) O プリンシパルが属する領域 O 例:ユーザープリンシパル名(UPN) O kamebuchi@hogehoge.local ユーザー名 レルム (c) Copyright 2011, Keiji Kamebuchi, All right reserved 6
  7. 7. 構成要素:用語とパズルO チケット O 暗号化されたセッション毎の一意なデータ構造 O KDCが発行する O 最終的な身元の確認と通信用の暗号化鍵の確立(短期) O 以下の情報をまとめたもの O 要求元プリンシパル名 O 対象のサービスプリンシパル名 O チケットの開始・終了時期 O チケットを使用するIPアドレス O 通信用の共通鍵(セッション鍵:秘密暗号化鍵) O チケットフラグ O だいたい10~24時間だけ有効 O キャッシュも使える (c) Copyright 2011, Keiji Kamebuchi, All right reserved 7
  8. 8. 構成要素:用語とパズルO DNS O レルムを管理したりKDCを検索したりいろいろO 時刻同期 O 前後5分ずれるとNG!!(大事!)O ネットワーク O UDP/88 TCP/88 TCP/749 UDP/4444 UDP/444 O NATは面倒くさい(IPアドレスみてるので) O 要件があえば外部公開も可能 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 8
  9. 9. ざっくりまとめると時刻同期 委任 KDC サーバー サーバー 監査 認証 TCP/88 DNS 認可 チケットサービスの発見レルムの管理 クライアント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 9
  10. 10. 余談:PKIとは違うの?O PKI(公開鍵基盤)とは別物 O PKIは、「身分を証明するための証明書を扱うための基盤」 O 身分の証明書=公開鍵 O 認証/認可/監査は別の仕組み O 身分証明がはっきりしたほうがいい場合に利用 O S/MIME O SSL O PGP O 鍵=証明書をどうやって公開/配布するかがポイント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 10
  11. 11. Microsoftでの実装O Windows 2000 以降で標準対応(Kerberos v5)O KDC = Active Directory ドメインコントローラーO 意識しなくてもActive Directoryドメイン配下は Kerberos認証つかってますO 暗号化方式はRC4-HMAC (既定)/AES/3DES O DESはWindows 7/Windows Server 2008は既定で無効O Kerberos認証に対応した、その他Microsoft製品 O Internet Explorer O SQL Server O IIS O Exchange O SharePoint など O ほとんどのMicrosoft製品じゃね? (c) Copyright 2011, Keiji Kamebuchi, All right reserved 11
  12. 12. 相互運用O Microsoft以外でももちろんKerberos認証可能 O WebLogic Serverとか O Firefoxとか(SPNEGO使えるはず) O KDCもあるよ O MacintoshもO 相互運用はちと手間 O PAMの出来が.. O やっぱり多少の問題あるO 規格はオープンなんだから実装がんばってねO WS-Securityのバイナリトークンとか (c) Copyright 2011, Keiji Kamebuchi, All right reserved 12
  13. 13. 活用例O Kerberosが威力を発揮するのは O 委任によるシングルサインオン O 認証情報の引き継ぎO WindowsでNTLMだと何がダメ? O よくあるのがダブルホップ問題 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 13
  14. 14. ダブルホップとKerberos O NTLMの場合 DBサーバー(2) WCF Data ServicesへアクセスWindows統合認証(NTLM)によって (3) DBへアクセスUserAが認証される Windows統合認証(NTLM)はダブルホップ (認証情報の受け渡し/偽装)ができないため 認証情報なし 認証情報無し=匿名ユーザーとしてアクセス (Anonymous:匿名) ↓ DBへアクセスできない WCF Data Services Webサーバー Web 画面 UserA の認証情報 UserA の認証情報 (1) Webへアクセス Windows統合認証(NTLM)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 14
  15. 15. ダブルホップとKerberos O Kerberosの場合 DBサーバー(2) WCF Data Services へアクセスWindows統合認証(Kerberos)によってUserAが認証される (3) DBへアクセス Windows統合認証(Kerberos)によって UserAが認証される ↓ UserA の認証情報 DBへアクセス可 WCF Data Services Web サーバー Web 画面 UserA の認証情報 UserA の認証情報 (1)Web へアクセス Windows統合認証(Kerberos)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 15
  16. 16. やってみた O ただやるだけだと面白くない O せっかくだからWindows Azure Connect で OnPremise と連携 Active Directory ドメイン Webサーバー(IIS) Windows Azure WebRoleWindows Azure Connect Windows Azure Intranet クライアント Active Directory ファイルサーバー (IE) ドメインコントローラー (画像置き場) (c) Copyright 2011, Keiji Kamebuchi, All (KDC他) right reserved 16
  17. 17. やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved 17
  18. 18. やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved 18
  19. 19. やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved 19
  20. 20. やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved 20
  21. 21. やってみた サービスアカウントがもっている SPN(サービスプリンシパル名) 委任できるように設定(c) Copyright 2011, Keiji Kamebuchi, All right reserved 21
  22. 22. やってみた(c) Copyright 2011, Keiji Kamebuchi, All right reserved 22
  23. 23. やってみた 発行されたチケット(c) Copyright 2011, Keiji Kamebuchi, All right reserved 23
  24. 24. やってみた ドメインコントローラーとWebRoleと しか通信してないクライアント(c) Copyright 2011, Keiji Kamebuchi, All right reserved 24
  25. 25. やってみた LogonTypeが3は Kerberos認証(c) Copyright 2011, Keiji Kamebuchi, All right reserved 25
  26. 26. まとめO Kerberosはいろいろ大きめの認証基盤O 理解は難しいが、ある程度知っていれば得られるものは大きいO クラウド時代でも、まぁ使えないことはないO Active Directoryをもっと活用しよう Microsoft製品でやるなら、 Active DirectoryとKerberosで はっぴはっぴはっぴ~ (c) Copyright 2011, Keiji Kamebuchi, All right reserved 26
  27. 27. AppendixO Kerberos ネットワーク認証サービス v5 (RFC1510) O http://www.ipa.go.jp/security/rfc /RFC1510-00JA.htmlO Kerberos Authentication Technical Reference O http://technet.microsoft.com/ja-jp/library/cc739058(WS.10).aspxO Kerberos V5 認証 O http://technet.microsoft.com/ja-jp/library/cc783708(WS.10).aspxO Kerbtray.exe O http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4e3a 58be-29f6-49f6-85be-e866af8e7a88&displaylang=en (c) Copyright 2011, Keiji Kamebuchi, All right reserved 27
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×