SlideShare a Scribd company logo

Clrh55_LT_kamebuchi_public

Keiji Kamebuchi
Keiji Kamebuchi

第55回 CLR/H 勉強会 ライトニングトーク - 5分でわかった気になるかもしれないKerberos認証

Technology
1 of 27
Download to read offline
5分で分かった気になる かもしれない Kerberos認証 2011.02.05 第55回CLR/H勉強会 @kamebuchi
自己紹介 O Twitter: @kamebuchi O Blog: http://buchizo.wordpress.com/ O クラウド上にActive Directory構築したりする普通 なWindows Azure使いで、本州から来ました。 Windows 2000 Server発売時から関わり続けて きたKerberos認証を、自分が作ったアンドロイドを 育てたような気分で紹介したり、洗浄したり、VerUp したいと思います!(にゃ! (c) Copyright 2011, Keiji Kamebuchi, All right reserved 2
その前に (c) Copyright 2011, Keiji Kamebuchi, All right reserved 3
Kerberosとは何か O 安全で O ネットワーク上にパスワードを流したりしない O 暗号化されてる O シングルサインオンができて O 一度ログオンすれば透過的にアクセスできる O 信頼できる第三者機関で O 全ての認証を集中化できる O 相互認証ができるしくみ O サーバー/クライアントどちらも相互に正当かどうか確認できる (c) Copyright 2011, Keiji Kamebuchi, All right reserved 4
構成要素:3つのA 身元確認 ID/Password 生体認証 Authentication 認証 認証ログ アクセスログ 反応型 許可/拒否 ACL Auditing Authorization 監査 認可 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 5
構成要素:用語とパズル O KDC=Key Distribution Center:鍵配布センター O 暗号化鍵・プリンシパルのデータベース O 認証サーバー O 暗号化されたチケット交付チケット(TGT)を発行 O チケット交付サーバー O 要求元にチケットを発行 O プリンシパル(Principal:主) O ユーザー・サービス・ホストの一意な情報 O レルム(Realm:領域) O プリンシパルが属する領域 O 例:ユーザープリンシパル名(UPN) O kamebuchi@hogehoge.local ユーザー名 レルム (c) Copyright 2011, Keiji Kamebuchi, All right reserved 6
構成要素:用語とパズル O チケット O 暗号化されたセッション毎の一意なデータ構造 O KDCが発行する O 最終的な身元の確認と通信用の暗号化鍵の確立(短期) O 以下の情報をまとめたもの O 要求元プリンシパル名 O 対象のサービスプリンシパル名 O チケットの開始・終了時期 O チケットを使用するIPアドレス O 通信用の共通鍵(セッション鍵:秘密暗号化鍵) O チケットフラグ O だいたい10~24時間だけ有効 O キャッシュも使える (c) Copyright 2011, Keiji Kamebuchi, All right reserved 7
構成要素:用語とパズル O DNS O レルムを管理したりKDCを検索したりいろいろ O 時刻同期 O 前後5分ずれるとNG!!(大事!) O ネットワーク O UDP/88 TCP/88 TCP/749 UDP/4444 UDP/444 O NATは面倒くさい(IPアドレスみてるので) O 要件があえば外部公開も可能 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 8
ざっくりまとめると 時刻同期 委任 KDC サーバー サーバー 監査 認証 TCP/88 DNS 認可 チケット サービスの発見 レルムの管理 クライアント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 9
余談:PKIとは違うの? O PKI(公開鍵基盤)とは別物 O PKIは、「身分を証明するための証明書を扱うための基盤」 O 身分の証明書=公開鍵 O 認証/認可/監査は別の仕組み O 身分証明がはっきりしたほうがいい場合に利用 O S/MIME O SSL O PGP O 鍵=証明書をどうやって公開/配布するかがポイント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 10
Microsoftでの実装 O Windows 2000 以降で標準対応(Kerberos v5) O KDC = Active Directory ドメインコントローラー O 意識しなくてもActive Directoryドメイン配下は Kerberos認証つかってます O 暗号化方式はRC4-HMAC (既定)/AES/3DES O DESはWindows 7/Windows Server 2008は既定で無効 O Kerberos認証に対応した、その他Microsoft製品 O Internet Explorer O SQL Server O IIS O Exchange O SharePoint など O ほとんどのMicrosoft製品じゃね? (c) Copyright 2011, Keiji Kamebuchi, All right reserved 11
相互運用 O Microsoft以外でももちろんKerberos認証可能 O WebLogic Serverとか O Firefoxとか(SPNEGO使えるはず) O KDCもあるよ O Macintoshも O 相互運用はちと手間 O PAMの出来が.. O やっぱり多少の問題ある O 規格はオープンなんだから実装がんばってね O WS-Securityのバイナリトークンとか (c) Copyright 2011, Keiji Kamebuchi, All right reserved 12
活用例 O Kerberosが威力を発揮するのは O 委任によるシングルサインオン O 認証情報の引き継ぎ O WindowsでNTLMだと何がダメ? O よくあるのがダブルホップ問題 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 13
ダブルホップとKerberos O NTLMの場合 DBサーバー (2) WCF Data Servicesへアクセス Windows統合認証(NTLM)によって (3) DBへアクセス UserAが認証される Windows統合認証(NTLM)はダブルホップ (認証情報の受け渡し/偽装)ができないため 認証情報なし 認証情報無し=匿名ユーザーとしてアクセス (Anonymous:匿名) ↓ DBへアクセスできない WCF Data Services Webサーバー Web 画面 UserA の認証情報 UserA の認証情報 (1) Webへアクセス Windows統合認証(NTLM)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 14
ダブルホップとKerberos O Kerberosの場合 DBサーバー (2) WCF Data Services へアクセス Windows統合認証(Kerberos)によって UserAが認証される (3) DBへアクセス Windows統合認証(Kerberos)によって UserAが認証される ↓ UserA の認証情報 DBへアクセス可 WCF Data Services Web サーバー Web 画面 UserA の認証情報 UserA の認証情報 (1)Web へアクセス Windows統合認証(Kerberos)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 15
やってみた O ただやるだけだと面白くない O せっかくだからWindows Azure Connect で OnPremise と連携 Active Directory ドメイン Webサーバー(IIS) Windows Azure WebRole Windows Azure Connect Windows Azure Intranet クライアント Active Directory ファイルサーバー (IE) ドメインコントローラー (画像置き場) (c) Copyright 2011, Keiji Kamebuchi, All (KDC他) right reserved 16
やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 17
やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 18
やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 19
やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 20
やってみた サービスアカウントがもっている SPN(サービスプリンシパル名) 委任できるように設定 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 21
やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 22
やってみた 発行されたチケット (c) Copyright 2011, Keiji Kamebuchi, All right reserved 23
やってみた ドメインコントローラーとWebRoleと しか通信してないクライアント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 24
やってみた LogonTypeが3は Kerberos認証 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 25
まとめ O Kerberosはいろいろ大きめの認証基盤 O 理解は難しいが、ある程度知っていれば得られるものは大きい O クラウド時代でも、まぁ使えないことはない O Active Directoryをもっと活用しよう Microsoft製品でやるなら、 Active DirectoryとKerberosで はっぴはっぴはっぴ~ (c) Copyright 2011, Keiji Kamebuchi, All right reserved 26
Appendix O Kerberos ネットワーク認証サービス v5 (RFC1510) O http://www.ipa.go.jp/security/rfc /RFC1510-00JA.html O Kerberos Authentication Technical Reference O http://technet.microsoft.com/ja-jp/library/cc739058(WS.10).aspx O Kerberos V5 認証 O http://technet.microsoft.com/ja-jp/library/cc783708(WS.10).aspx O Kerbtray.exe O http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4e3a 58be-29f6-49f6-85be-e866af8e7a88&displaylang=en (c) Copyright 2011, Keiji Kamebuchi, All right reserved 27

Recommended

5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.15/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1junichi anno
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編junichi anno
 
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順junichi anno
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOITatsuo Kudo
 
Wp sslandroot certificate
Wp sslandroot certificateWp sslandroot certificate
Wp sslandroot certificateYoshida Yuri
 
Seminario Marketing Mobile - Diseño de una APP con GoodBarber
Seminario Marketing Mobile - Diseño de una APP con GoodBarberSeminario Marketing Mobile - Diseño de una APP con GoodBarber
Seminario Marketing Mobile - Diseño de una APP con GoodBarberJavier Merchán Correa
 

Recommended

5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.15/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
5/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1junichi anno
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編junichi anno
 
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順
Windows phone アプリ開発者のための AD FS 2.0 セットアップ手順junichi anno
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOITatsuo Kudo
 
Wp sslandroot certificate
Wp sslandroot certificateWp sslandroot certificate
Wp sslandroot certificateYoshida Yuri
 
Seminario Marketing Mobile - Diseño de una APP con GoodBarber
Seminario Marketing Mobile - Diseño de una APP con GoodBarberSeminario Marketing Mobile - Diseño de una APP con GoodBarber
Seminario Marketing Mobile - Diseño de una APP con GoodBarberJavier Merchán Correa
 
20151024 Azureデータストア概要
20151024 Azureデータストア概要20151024 Azureデータストア概要
20151024 Azureデータストア概要Keiji Kamebuchi
 
ゆるふわAzure Functions
ゆるふわAzure FunctionsゆるふわAzure Functions
ゆるふわAzure FunctionsKeiji Kamebuchi
 
Hadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the GateHadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the GateSteve Loughran
 
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014Cloudera Japan
 
Hadoop Security Architecture
Hadoop Security ArchitectureHadoop Security Architecture
Hadoop Security ArchitectureOwen O'Malley
 
Ride on Azure! 詳細編
Ride on Azure! 詳細編Ride on Azure! 詳細編
Ride on Azure! 詳細編Keiji Kamebuchi
 
4. lista grupo 4
4. lista grupo 44. lista grupo 4
4. lista grupo 4Marcos Júnior
 
[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasure[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasureChallenge:Future
 
45jaargetrouwd 091
45jaargetrouwd 09145jaargetrouwd 091
45jaargetrouwd 091al50jaargetrouwd
 
Press note convocation 1
Press note convocation 1 Press note convocation 1
Press note convocation 1 forthpillers
 
A2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo seguraA2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo seguraAlejo Castillo
 
Estrangulamento com a lapela
Estrangulamento com a lapelaEstrangulamento com a lapela
Estrangulamento com a lapeladiegoj92
 
Trabajo de computación2
Trabajo de computación2Trabajo de computación2
Trabajo de computación2Mishu Trujillo
 
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...Ellwanger & Geiger Privatbankiers
 
Project diana
Project dianaProject diana
Project dianakhairunnasirahmad
 
DIE MARKTMEINUNG AUS STUTTGART
DIE MARKTMEINUNG AUS STUTTGARTDIE MARKTMEINUNG AUS STUTTGART
DIE MARKTMEINUNG AUS STUTTGARTEllwanger & Geiger Privatbankiers
 
Grand Family
Grand FamilyGrand Family
Grand FamilyNovos Lançamentos no Rio
 
Kujinkova tvurci psani
Kujinkova tvurci psaniKujinkova tvurci psani
Kujinkova tvurci psaniEva Kujínková
 
TODAY_
TODAY_TODAY_
TODAY_mohamed kamal hanafy
 
Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011credanunogoncalves
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版junichi anno
 

More Related Content

Viewers also liked

20151024 Azureデータストア概要
20151024 Azureデータストア概要20151024 Azureデータストア概要
20151024 Azureデータストア概要Keiji Kamebuchi
 
ゆるふわAzure Functions
ゆるふわAzure FunctionsゆるふわAzure Functions
ゆるふわAzure FunctionsKeiji Kamebuchi
 
Hadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the GateHadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the GateSteve Loughran
 
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014Cloudera Japan
 
Hadoop Security Architecture
Hadoop Security ArchitectureHadoop Security Architecture
Hadoop Security ArchitectureOwen O'Malley
 
Ride on Azure! 詳細編
Ride on Azure! 詳細編Ride on Azure! 詳細編
Ride on Azure! 詳細編Keiji Kamebuchi
 
[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasure[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasureChallenge:Future
 
Press note convocation 1
Press note convocation 1 Press note convocation 1
Press note convocation 1 forthpillers
 
A2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo seguraA2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo seguraAlejo Castillo
 
Estrangulamento com a lapela
Estrangulamento com a lapelaEstrangulamento com a lapela
Estrangulamento com a lapeladiegoj92
 
Trabajo de computación2
Trabajo de computación2Trabajo de computación2
Trabajo de computación2Mishu Trujillo
 
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...Ellwanger & Geiger Privatbankiers
 
Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011credanunogoncalves
 

Viewers also liked (20)

20151024 Azureデータストア概要
20151024 Azureデータストア概要20151024 Azureデータストア概要
20151024 Azureデータストア概要
 
ゆるふわAzure Functions
ゆるふわAzure FunctionsゆるふわAzure Functions
ゆるふわAzure Functions
 
Hadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the GateHadoop and Kerberos: the Madness Beyond the Gate
Hadoop and Kerberos: the Madness Beyond the Gate
 
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
マルチテナント化に向けたHadoopの最新セキュリティ事情 #hcj2014
 
Hadoop Security Architecture
Hadoop Security ArchitectureHadoop Security Architecture
Hadoop Security Architecture
 
Ride on Azure! 詳細編
Ride on Azure! 詳細編Ride on Azure! 詳細編
Ride on Azure! 詳細編
 
4. lista grupo 4
4. lista grupo 44. lista grupo 4
4. lista grupo 4
 
[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasure[Challenge:Future] diving for treasure
[Challenge:Future] diving for treasure
 
45jaargetrouwd 091
45jaargetrouwd 09145jaargetrouwd 091
45jaargetrouwd 091
 
Press note convocation 1
Press note convocation 1 Press note convocation 1
Press note convocation 1
 
A2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo seguraA2 s1 formas brayan alejandro castillo segura
A2 s1 formas brayan alejandro castillo segura
 
Estrangulamento com a lapela
Estrangulamento com a lapelaEstrangulamento com a lapela
Estrangulamento com a lapela
 
Trabajo de computación2
Trabajo de computación2Trabajo de computación2
Trabajo de computación2
 
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
Kommentar zum Immobilienaktienmarkt: Gute Stimmung an den Börsen verleiht Akt...
 
Project diana
Project dianaProject diana
Project diana
 
DIE MARKTMEINUNG AUS STUTTGART
DIE MARKTMEINUNG AUS STUTTGARTDIE MARKTMEINUNG AUS STUTTGART
DIE MARKTMEINUNG AUS STUTTGART
 
Grand Family
Grand FamilyGrand Family
Grand Family
 
Kujinkova tvurci psani
Kujinkova tvurci psaniKujinkova tvurci psani
Kujinkova tvurci psani
 
TODAY_
TODAY_TODAY_
TODAY_
 
Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011Regulamento concurso direitos Humanos 2011
Regulamento concurso direitos Humanos 2011
 

Similar to Clrh55_LT_kamebuchi_public

OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版junichi anno
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術shigeya
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)Shinichiro Isago
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...kekekekenta
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細オラクルエンジニア通信
 
Awsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させるAwsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させるSyuichi Murashima
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはjunichi anno
 
WVD (Windows Virtual Desktop) 概要
WVD (Windows Virtual Desktop) 概要WVD (Windows Virtual Desktop) 概要
WVD (Windows Virtual Desktop) 概要Takamasa Maejima
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -Takashi Takizawa
 
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留GoAzure
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズAmazon Web Services Japan
 

Similar to Clrh55_LT_kamebuchi_public (20)

OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
 
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細
API Gateway - ヘッダー/クエリー変換、認証・認可機能詳細
 
Awsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させるAwsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させる
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するには
 
WVD (Windows Virtual Desktop) 概要
WVD (Windows Virtual Desktop) 概要WVD (Windows Virtual Desktop) 概要
WVD (Windows Virtual Desktop) 概要
 
20171201_01_idsi_現状の認証システムに関連する機能
20171201_01_idsi_現状の認証システムに関連する機能20171201_01_idsi_現状の認証システムに関連する機能
20171201_01_idsi_現状の認証システムに関連する機能
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -
 
10th jan 2013_miyazaki
10th jan 2013_miyazaki10th jan 2013_miyazaki
10th jan 2013_miyazaki
 
20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public
 
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留
B 2-2今年の夏は azure でキマリ! azure 使いこなしテクニックin ベルサール汐留
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 

Recently uploaded

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 

Recently uploaded (8)

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 

Clrh55_LT_kamebuchi_public

  • 1. 5分で分かった気になる かもしれない Kerberos認証 2011.02.05 第55回CLR/H勉強会 @kamebuchi
  • 2. 自己紹介 O Twitter: @kamebuchi O Blog: http://buchizo.wordpress.com/ O クラウド上にActive Directory構築したりする普通 なWindows Azure使いで、本州から来ました。 Windows 2000 Server発売時から関わり続けて きたKerberos認証を、自分が作ったアンドロイドを 育てたような気分で紹介したり、洗浄したり、VerUp したいと思います!(にゃ! (c) Copyright 2011, Keiji Kamebuchi, All right reserved 2
  • 3. その前に (c) Copyright 2011, Keiji Kamebuchi, All right reserved 3
  • 4. Kerberosとは何か O 安全で O ネットワーク上にパスワードを流したりしない O 暗号化されてる O シングルサインオンができて O 一度ログオンすれば透過的にアクセスできる O 信頼できる第三者機関で O 全ての認証を集中化できる O 相互認証ができるしくみ O サーバー/クライアントどちらも相互に正当かどうか確認できる (c) Copyright 2011, Keiji Kamebuchi, All right reserved 4
  • 5. 構成要素:3つのA 身元確認 ID/Password 生体認証 Authentication 認証 認証ログ アクセスログ 反応型 許可/拒否 ACL Auditing Authorization 監査 認可 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 5
  • 6. 構成要素:用語とパズル O KDC=Key Distribution Center:鍵配布センター O 暗号化鍵・プリンシパルのデータベース O 認証サーバー O 暗号化されたチケット交付チケット(TGT)を発行 O チケット交付サーバー O 要求元にチケットを発行 O プリンシパル(Principal:主) O ユーザー・サービス・ホストの一意な情報 O レルム(Realm:領域) O プリンシパルが属する領域 O 例:ユーザープリンシパル名(UPN) O kamebuchi@hogehoge.local ユーザー名 レルム (c) Copyright 2011, Keiji Kamebuchi, All right reserved 6
  • 7. 構成要素:用語とパズル O チケット O 暗号化されたセッション毎の一意なデータ構造 O KDCが発行する O 最終的な身元の確認と通信用の暗号化鍵の確立(短期) O 以下の情報をまとめたもの O 要求元プリンシパル名 O 対象のサービスプリンシパル名 O チケットの開始・終了時期 O チケットを使用するIPアドレス O 通信用の共通鍵(セッション鍵:秘密暗号化鍵) O チケットフラグ O だいたい10~24時間だけ有効 O キャッシュも使える (c) Copyright 2011, Keiji Kamebuchi, All right reserved 7
  • 8. 構成要素:用語とパズル O DNS O レルムを管理したりKDCを検索したりいろいろ O 時刻同期 O 前後5分ずれるとNG!!(大事!) O ネットワーク O UDP/88 TCP/88 TCP/749 UDP/4444 UDP/444 O NATは面倒くさい(IPアドレスみてるので) O 要件があえば外部公開も可能 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 8
  • 9. ざっくりまとめると 時刻同期 委任 KDC サーバー サーバー 監査 認証 TCP/88 DNS 認可 チケット サービスの発見 レルムの管理 クライアント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 9
  • 10. 余談:PKIとは違うの? O PKI(公開鍵基盤)とは別物 O PKIは、「身分を証明するための証明書を扱うための基盤」 O 身分の証明書=公開鍵 O 認証/認可/監査は別の仕組み O 身分証明がはっきりしたほうがいい場合に利用 O S/MIME O SSL O PGP O 鍵=証明書をどうやって公開/配布するかがポイント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 10
  • 11. Microsoftでの実装 O Windows 2000 以降で標準対応(Kerberos v5) O KDC = Active Directory ドメインコントローラー O 意識しなくてもActive Directoryドメイン配下は Kerberos認証つかってます O 暗号化方式はRC4-HMAC (既定)/AES/3DES O DESはWindows 7/Windows Server 2008は既定で無効 O Kerberos認証に対応した、その他Microsoft製品 O Internet Explorer O SQL Server O IIS O Exchange O SharePoint など O ほとんどのMicrosoft製品じゃね? (c) Copyright 2011, Keiji Kamebuchi, All right reserved 11
  • 12. 相互運用 O Microsoft以外でももちろんKerberos認証可能 O WebLogic Serverとか O Firefoxとか(SPNEGO使えるはず) O KDCもあるよ O Macintoshも O 相互運用はちと手間 O PAMの出来が.. O やっぱり多少の問題ある O 規格はオープンなんだから実装がんばってね O WS-Securityのバイナリトークンとか (c) Copyright 2011, Keiji Kamebuchi, All right reserved 12
  • 13. 活用例 O Kerberosが威力を発揮するのは O 委任によるシングルサインオン O 認証情報の引き継ぎ O WindowsでNTLMだと何がダメ? O よくあるのがダブルホップ問題 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 13
  • 14. ダブルホップとKerberos O NTLMの場合 DBサーバー (2) WCF Data Servicesへアクセス Windows統合認証(NTLM)によって (3) DBへアクセス UserAが認証される Windows統合認証(NTLM)はダブルホップ (認証情報の受け渡し/偽装)ができないため 認証情報なし 認証情報無し=匿名ユーザーとしてアクセス (Anonymous:匿名) ↓ DBへアクセスできない WCF Data Services Webサーバー Web 画面 UserA の認証情報 UserA の認証情報 (1) Webへアクセス Windows統合認証(NTLM)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 14
  • 15. ダブルホップとKerberos O Kerberosの場合 DBサーバー (2) WCF Data Services へアクセス Windows統合認証(Kerberos)によって UserAが認証される (3) DBへアクセス Windows統合認証(Kerberos)によって UserAが認証される ↓ UserA の認証情報 DBへアクセス可 WCF Data Services Web サーバー Web 画面 UserA の認証情報 UserA の認証情報 (1)Web へアクセス Windows統合認証(Kerberos)によって UserAが認証される クライアント(UserA) (c) Copyright 2011, Keiji Kamebuchi, All right reserved 15
  • 16. やってみた O ただやるだけだと面白くない O せっかくだからWindows Azure Connect で OnPremise と連携 Active Directory ドメイン Webサーバー(IIS) Windows Azure WebRole Windows Azure Connect Windows Azure Intranet クライアント Active Directory ファイルサーバー (IE) ドメインコントローラー (画像置き場) (c) Copyright 2011, Keiji Kamebuchi, All (KDC他) right reserved 16
  • 17. やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 17
  • 18. やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 18
  • 19. やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 19
  • 20. やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 20
  • 21. やってみた サービスアカウントがもっている SPN(サービスプリンシパル名) 委任できるように設定 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 21
  • 22. やってみた (c) Copyright 2011, Keiji Kamebuchi, All right reserved 22
  • 23. やってみた 発行されたチケット (c) Copyright 2011, Keiji Kamebuchi, All right reserved 23
  • 24. やってみた ドメインコントローラーとWebRoleと しか通信してないクライアント (c) Copyright 2011, Keiji Kamebuchi, All right reserved 24
  • 25. やってみた LogonTypeが3は Kerberos認証 (c) Copyright 2011, Keiji Kamebuchi, All right reserved 25
  • 26. まとめ O Kerberosはいろいろ大きめの認証基盤 O 理解は難しいが、ある程度知っていれば得られるものは大きい O クラウド時代でも、まぁ使えないことはない O Active Directoryをもっと活用しよう Microsoft製品でやるなら、 Active DirectoryとKerberosで はっぴはっぴはっぴ~ (c) Copyright 2011, Keiji Kamebuchi, All right reserved 26
  • 27. Appendix O Kerberos ネットワーク認証サービス v5 (RFC1510) O http://www.ipa.go.jp/security/rfc /RFC1510-00JA.html O Kerberos Authentication Technical Reference O http://technet.microsoft.com/ja-jp/library/cc739058(WS.10).aspx O Kerberos V5 認証 O http://technet.microsoft.com/ja-jp/library/cc783708(WS.10).aspx O Kerbtray.exe O http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4e3a 58be-29f6-49f6-85be-e866af8e7a88&displaylang=en (c) Copyright 2011, Keiji Kamebuchi, All right reserved 27