ケルベロス(Kerberos)認証とは?基礎知識と併せてシングルサインオンとの関係性までわかりやすく解説
ケルベロス(Kerberos)認証とは、ログイン時に用いられる認証方式の一つで、一度ログインすれば、次回以降はIDとパスワードの入力なしでログインできるようになる仕組みです。一方で、この説明を聞いて「シングルサインオンと何が違うの?」と思われた方もいるかもしれません。また、「ケルベロス認証の名前は知っているけれど、仕組みはよくわからない」という方もいるでしょう。
この記事では、ケルベロス認証の基礎知識として認証の仕組みや流れ、シングルサインオンとの関係について解説します。
■ケルベロス(Kerberos)認証とは ?
ケルベロス(Kerberos)認証とは、サーバーとクライアント間の身元確認に使うプロトコルのことで、ネットワーク認証方式の一つです。ケルベロス認証では、クライアントとサーバーを相互に認証して互いの通信を暗号化することで、通信を保護します。
ケルベロス認証は、一度ログインすると次回以降はIDとパスワードの入力なしでログインできるため、シングルサインオンを実現するための方式として活用されています。代表的な使用例としてはWindowsのActive Directoryが挙げられ、ユーザー認証に使用されている方式がケルベロス認証です。
ケルベロス認証は1980年代にマサチューセッツ工科大学で開発されました。現在利用されているケルベロスバージョン5(KRB5)も含め、ケルベロス認証は古くから広く利用されている認証方式です。
■ケルベロス認証の仕組みと流れ
ケルベロス認証は、IDとパスワード情報からチケットを発行し、そのチケットを用いることでその後の認証を不要にする仕組みです。
詳しい仕組みを解説する前に、ケルベロス認証では特有の用語が使われるため、代表的な用語とその意味を確認しておきましょう。
KDC(Key Distribution Center) |
サーバーおよびユーザー情報を一元管理するデータベース |
AS(Authentication Server) |
ユーザーからの認証要求を受け取る認証サーバー |
TGT(Ticket Granting Ticket) |
サーバー利用時のチケット発行に用いるための、最初の認証で発行されるチケット |
TGS(Ticket Granting Server) |
認証の代わりに用いるチケットを発行するサーバー |
用語は聞き慣れないかもしれませんが、ケルベロス認証の流れ自体は難しくありません。ユーザーが特定のサーバーへログイン要求をする際の認証を例に、ケルベロス認証の流れを見てみましょう。
- 1. ユー ザーがIDとパスワードを入力すると、その情報がASに送信される
- 2. ASはその情報をKDCに問い合わせ、サーバーの利用資格を確認する
- 3. 問題がなければ、ASからTGTが発行される
- 4. ユーザーがTGTをTGSに送信し、利用するサーバー用のチケット発行を要求する
- 5. 問題がなければ、TGSから利用するサーバー用のチケットが発行される
- 6. ユーザーが、発行されたチケットを利用するサーバーに送信する
- 7. チケットに問題がなければ、サーバーが利用可能になる
1~3の手続きは初回のケルベロス認証のみ必要であり、以降、別のサーバーにログインする際は4以降の手続きのみ実施されます。
■ケルベロス認証とシングルサインオン(SSO)の関係
シングルサインオン(以降、SSO)とケルベロス認証は、一度の認証で済むという点から混同されがちです。ここでは、シングルサインオンとケルベロス認証の関係や違いについて解説します。
◇SSOを実現するための方式の一つ
SSOとは、一度のログインで複数のサーバーやサービスを利用可能にする仕組みを指します。
近年ではクラウドサービスの普及により、一人当たりのユーザーが利用するサービスやシステムが年々増加傾向にあります。それにともない、ユーザーが使用するIDやパスワードの数も増えている状況です。その結果、パスワード管理の煩わしさから、ユーザーがパスワードを使い回すといった事態が発生しており、セキュリティの低下が危惧されています。
こういった事態への対策として、ユーザーの利便性を高めながらセキュリティを向上するSSOの需要が高まっています。そして、SSOの実現にはいくつかの方式があり、その一つがケルベロス認証です。
関連記事:SSO(シングルサインオン)とは?メリットやSSOの仕組み「SAML認証」について
◇そのほかのシングルサインオンの方式
ケルベロス認証以外のSSOの実現方式として、代表的な4つの認証方式をご紹介します。
・SAML認証方式
SAML(Security Assertion Markup Language)は、別々のインターネットドメイン間でユーザー認証を行なうための標準規格です。SAML認証方式では、サービスプロバイダ(SP)とアイデンティティプロバイダ(IdP)で認証情報を受け渡し、ユーザーの認証を行ないます。多くのクラウドサービスがSAML規格に対応していることもあり、SAML認証方式はリソースにクラウドサービスを含む場合によく用いられます。
関連記事:SAMLとは?導入のメリットやシングルサインオン(SSO)実現までの流れを徹底解説
・リバースプロキシ方式
リバースプロキシ方式とは、ユーザーの端末とWebシステムの間にリバースプロキシサーバーと呼ばれる中継サーバーを置くことで、すべての認証をリバースプロキシサーバー経由で行なう方式です。リバースプロキシサーバーにのみエージェントソフトをインストールし、ユーザーの認証情報を取得します。既存のシステムを大きく変更する必要がない点がメリットですが、リバースプロキシサーバーに負荷がかかりボトルネックになるリスクがあります。
・エージェント方式
エージェント方式とは、利用するWebシステムそれぞれにエージェントソフトを導入し、エージェントソフトがSSOサーバーへ認証を行なう方式です。リバースプロキシ方式のようなボトルネックは発生しにくいですが、導入するエージェントソフトが既存のシステムに対応している必要があります。
・透過型方式
透過型方式とは、ユーザーからWebシステムへのアクセスを監視し、認証が必要なときのみ認証情報を送信する方式です。アクセス経路に依存しない ため、既存のネットワーク環境に取り入れやすいですが、透過型方式に対応したSSO製品が必要です。
◇チケットの発行有無が大きな違い
紹介していないSSOの実現方式も含め、ほかの方式とケルベロス認証との大きな違いは、チケットを発行して利用する点です。チケットが、サーバーに入るための鍵としての役目を果たすことで、IDとパスワードを利用せずに認証できます。
■ケルベロス認証のメリット・SSO利用時の注意点
ケルベロス認証を取り入れると、どのようなメリットがあるのでしょうか。ケルベロス認証の前提となるSSO利用時の注意点と併せて解説します。
◇ケルベロス認証がもたらすメリット
ケルベロス認証は、Windows、Linux、macOSなど、OSの種類にかかわらず利用できます。そのため既存のシステムに取り入れやすく、多くの環境でSSOを実現できる方式です。
ケルベロス認証によりSSOが実現されれば、ユーザーは多数のパスワード管理から解放されます。さらに、ログイン時に毎回IDやパスワードを入力する必要もなくなるため、利便性が大きく向上します。
システム管理でのメリットとしては、IDやパスワードを入力しないことで情報漏洩のリスクが減り、セキュリティが向上します。ケルベロス認証はクライアントとサーバー間での通信が暗号化されているため、データ保全の観点からも安心です。
ケルベロス認証によるSSOの実現は、ユーザーとシステムの双方にとってメリットがあるといえます。
◇SSO利用時の注意点
ケルベロス認証にかかわらず、SSOの利用には注意点もあります。
例えば、SSOではユーザー情報を一元管理するため、SSOの基幹部分が停止すると多くのシステム利用に影響をおよぼします。認証ができなければ、ユーザーはSSOを利用しているすべてのシステムにログインできなくなります。また、同様に不正アクセスを受けた際の被害も大きくなるため、注意が必要です。
ケルベロス認証のリスクとしては、チケットが盗み見られてしまうことによる、なりすましや不正アクセスが考えられます。これらのリスクに対し、ケルベロス認証ではチケットに送信時刻を含み、一定のズレがあるとアクセスできない仕様となっています。さらに、クライアントとサーバー間の通信は暗号化されているため、簡単に盗み見られることはありません。
そのため、社内システムでSSOを導入する際には、ケルベロス認証を使った安全な環境を構築することをおすすめします。
■Windows中心の社内システムへのSSO導入には、GMOトラスト・ログインがおすすめ
いくつかあるSSOの認証方式のなかでも、ケルベロス認証はWindowsを中心とした社内システムにSSOを導入する際におすすめの方式です。ケルベロス認証はActive Directoryで推奨される認証方式のため、Windowsを中心とした社内システムにSSOを導入する場合、大きな変更なく導入できます。
そこで、Windowsを中心とした社内システムへのSSO導入におすすめのサービスが「GMOトラスト・ログイン」です。GMOトラスト・ログインとは、簡単にSSOを実現できる無料のクラウド型パスワード管理ツールです。
GMOトラスト・ログインでは、有料のオプションプラン(プロプラン)として「デスクトップSSO」機能を提供しています。デスクトップSSOとは、ケルベロス認証を用いた統合Windows認証に対応するための機能です。デスクトップSSOを使うことで、Active Directoryに参加しているデバイスではGMOトラスト・ログインでのパスワード入力が必要ないため、作業効率がアップします。
GMOトラスト・ログインについて詳しくはこちら
ご相談はこちらから
お見積りはこちらから
■まとめ
ケルベロス認証とは、SSOを実現するための認証方式の一つです。ユーザーの初回利用時にチケットを発行することで、次回以降の利用ではIDとパスワードの入力が不要になります。いくつかあるSSOの実現方式のなかでも、ケルベロス認証は、特にWindowsを中心とした社内システムに導入しやすい方式です。
ユーザーの利便性向上とセキュリティ向上に向け、ケルベロス認証やSSOの導入を検討してみてはいかがでしょうか。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。