3.1. The Authentication Service Exchange (認証サービス交換)
3.1. The Authentication Service Exchange (認証サービス交換)
Overview (概要)
Authentication Service (AS) exchange (認証サービス交換) は, クライアントと Kerberos システムとの最初のやり取りです。結果としてクライアントは, 以降のチケット要求に使える Ticket-Granting Ticket (TGT) を取得します。
Message Flow (メッセージの流れ)
- KRB_AS_REQ: クライアントが AS に認証要求を送る
- KRB_AS_REP: AS が TGT とセッション鍵 (クライアントの鍵で暗号化) で応答する
- KRB_ERROR: 要求を満たせない場合に返る
Key Components (主要コンポーネント)
Generation of KRB_AS_REQ Message (KRB_AS_REQ メッセージの生成)
クライアントは次を含む要求を構築します:
- Principal name (プリンシパル名)
- Realm (レルム)
- Requested ticket options (要求するチケットオプション)
- Timestamp (事前認証用)
- Encryption type preferences (暗号タイプの優先)
Receipt and Processing (受信と処理)
AS は要求を検証し, 次を確認します:
- プリンシパルがデータベースに存在するか
- Pre-authentication (事前認証) の要件
- Policy constraints (ポリシー制約)
- 要求されたオプション
Generation of KRB_AS_REP Message (KRB_AS_REP メッセージの生成)
要求が有効なら, AS は次を含む応答を構築します:
- TGT (TGS の鍵で暗号化)
- Session key (セッション鍵, クライアントの鍵で暗号化)
- Ticket expiration times (チケットの有効期限)
Error Handling (エラー処理)
要求を満たせない場合は, 適切なエラーコードを伴う KRB_ERROR メッセージが返されます。
Security Considerations (セキュリティ上の考慮)
- クライアントの long-term key (長期鍵) が AS 応答の保護に使われる
- Pre-authentication (事前認証) を要求してオフライン辞書攻撃を防げる
- 要求内のタイムスタンプがリプレイ保護になる
Related Subsections (関連する下位節)
- 3.1.1. Generation of KRB_AS_REQ Message
- 3.1.2. Receipt of KRB_AS_REQ Message
- 3.1.3. Generation of KRB_AS_REP Message
- 3.1.4. Generation of KRB_ERROR Message
- 3.1.5. Receipt of KRB_AS_REP Message
- 3.1.6. Receipt of KRB_ERROR Message
Reference (参照)
技術的な詳細は RFC 4120 Section 3.1 を参照してください。