ログオン認証時のTGT入手
1.ユーザ名と、パスワードを入力
2.Active directory でユーザー名とパスワードを確認
認証に成功した場合「TGT」を発行、クライアントに送信する
3.クライアントは「TGT」を認証キャッシュ(メモリ)に保存する
「TGT」について
・TGTを取得すると、サービスに対する認証がおこなえる。
・TGTはログオフ、再起動、電源断で無くなる。
・TGTの有効期限は10時間
有効期限が近付くと自動的に更新(有効期限を伸ばす)する。
(最大7日間)7日過ぎると再発行となる。
サービス(ファイルサーバなど)へのアクセス 1回目
1.クライアントから「TGT」とアクセスしたいサービス名を送信
2.Active directory でTGTの正当性を確認。
確認に成功した場合「セッションチケット」を発行、クライアントに送信する。
3.クライアントは「セッションチケット」を認証キャッシュ(メモリ)に保存する。
4.「セッションチケット」をサービスに送信。
5.サービス側でセッションチケットの正当性を確認。確認に成功した場合、サービスへのアクセスを許可する。
「セッションチケット」について
・TGTとセッションチケットは実態(内容)は同じ。有効期限や消失ルールも同一。(物理的には別)
・使用される場面により、呼び名が変わる。
サービス(ファイルサーバなど)へのアクセス 2回目以降
1.クライアントは認証キャッシュに保存されている「セッションチケット」をサービスに送信
2.サービス側でセッションチケットの正当性を確認。確認に成功した場合、サービスへのアクセスを許可する。
・セッションチケットが有効な限り、Active Directoryは認証処理に関与しない。
補足:「TGTの有効期限」、「更新可能期間」はグループポリシーで変更可能。
