MENU
category

[Active directory] ケルベロス認証プロセスとTGTチケットの関係は?

目次

ログオン認証時のTGT入手

  1.ユーザ名と、パスワードを入力
  2.Active directory でユーザー名とパスワードを確認
      認証に成功した場合「TGT」を発行、クライアントに送信する
  3.クライアントは「TGT」を認証キャッシュ(メモリ)に保存する

「TGT」について
    ・TGTを取得すると、サービスに対する認証がおこなえる。
    ・TGTはログオフ、再起動、電源断で無くなる。
    ・TGTの有効期限は10時間  
        有効期限が近付くと自動的に更新(有効期限を伸ばす)する。
        (最大7日間)7日過ぎると再発行となる。

サービス(ファイルサーバなど)へのアクセス 1回目


    1.クライアントから「TGT」とアクセスしたいサービス名を送信
    2.Active directory でTGTの正当性を確認。
        確認に成功した場合「セッションチケット」を発行、クライアントに送信する。
    3.クライアントは「セッションチケット」を認証キャッシュ(メモリ)に保存する。
    4.「セッションチケット」をサービスに送信。
    5.サービス側でセッションチケットの正当性を確認。確認に成功した場合、サービスへのアクセスを許可する。

「セッションチケット」について
   ・TGTとセッションチケットは実態(内容)は同じ。有効期限や消失ルールも同一。(物理的には別)
   ・使用される場面により、呼び名が変わる。

サービス(ファイルサーバなど)へのアクセス 2回目以降

   1.クライアントは認証キャッシュに保存されている「セッションチケット」をサービスに送信
   2.サービス側でセッションチケットの正当性を確認。確認に成功した場合、サービスへのアクセスを許可する。

   ・セッションチケットが有効な限り、Active Directoryは認証処理に関与しない。

補足:「TGTの有効期限」、「更新可能期間」はグループポリシーで変更可能。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次