セキュリティガイド

前へ次へ

Kerberos委任の種類

委任された認証を使用する場合、次のタイプの委任のいずれかを選択できます。

完全な委任: 完全な委任は、Kerberos委任の初期実装です。この委任方法では、クライアントはKerberos認証後にチケット交付チケット（TGT）をサービスに転送します。このサービスはこのTGTを使用して、ネットワーク内の他のサービスにアクセスするためのサービスチケットを取得します。管理者はサーバーがクライアントIDを使用してアクセスできるサービスを管理できないため、このタイプの委任は安全でないと見なされます。完全な委任は、制約のない委任とも呼ばれます。
制約付き委任: 制約付き委任では、管理者はサービスによるクライアントIDの使用を制限できます。この委任方法では、クライアントはサーバーにTGTを転送しません。次の種類の制約付き委任を使用できます。
従来の制約付き委任。この方法では、サービスは、認証を委任できるサービスのリストを使用して設定されます。
リソースベースの制約付き委任。この方法では、サービスは信頼する人と、その人に認証を委任できる人を指定します。

制約付き委任は、Service for User（S4U）というKerberosプロトコル拡張機能を使用します。この機能により、サービスはユーザーに代わってKerberosサービスチケットを取得できます。

単一のドメインで制約付き委任と完全な委任の両方を使用することはできません。完全な委任または制約付き委任のいずれかを使用するようにドメインを設定できます。

ページをウォッチ

フィードバックを送信