認証方法

XG Firewall で使用可能な認証方法の詳細を示します。

XG Firewall は、NTLM および Kerberos の両方の認証方法をサポートしています。これらの 2つのプロトコルは、クライアントの認証方法が主に異なります。

NTLM では、認証情報がクライアントから XG Firewall 経由で AD サーバーに送信されます。この認証プロセスでは、3つのメッセージを交換する必要があります。

Kerberos では、クライアントは XG Firewall にチケットを送信します。この場合、AD サーバーとの通信は行われません。この認証プロセスでは、メッセージを 1つだけ交換します。

そのため、Kerberos は高速で、使用するリソースも少なくて済みます。ただし、この効果を実感できるのは、特に負荷の高い環境のみです。

XG Firewall では、クライアントに NTLM のみを提供するか、または Kerberos と NTLM の両方を提供するように設定できます。Kerberos のみを提供することは HTTP の仕様でサポートされていないため、XG Firewall をそのように設定することはできません。Kerberos と NTLM のどちらを使用するかは、クライアントが決定します。Kerberos をサポートしているクライアントはそちらを優先的に使用できますが、接続先のシステムの有効性が AD サーバーによって確認されていることが前提となります。

NTLM

NTLM は、3つのメッセージを使用してクライアントを認証するチャレンジ/レスポンス認証プロトコルです。

  1. クライアントはサーバーへのネットワークパスを確立し、NEGOTIATE_MESSAGE を送信して対応機能を告知します。
  2. サーバーは、クライアントを識別するために CHALLENGE_MESSAGE で応答します。
  3. クライアントはそのチャレンジを受け、AUTHENTICATE_MESSAGE で応答します。

Kerberos

Windows 2000 以降のバージョンでは、デフォルトの認証方式として Kerberos が使用されます。Kerberos は対称鍵暗号化を基盤としており、信頼できるサードパーティを必要とします。また、認証の特定のフェーズで、公開鍵暗号化を使用することも可能です。

Kerberos は、鍵配布センターと呼ばれるチケット認可サービスを使用して、双方向ハンドシェイクを行います。認証ステップは次のとおりです。

  1. クライアントは認証サーバー (AS) に対して自身を認証します。認証サーバーはこれを受け、鍵配布センター (KDC) にユーザー名を転送します。
  2. KDC はチケット認可チケット (TGT) を発行し、タイムスタンプを追加し、チケット認可サービス (TGS) の秘密鍵を使用して暗号化したうえで、ユーザーのワークステーションに返します。この処理は、通常はユーザーのサインイン時に発生し、頻繁に行われることはありません。

TGT はしばらくすると期限切れになりますが、ユーザーのサインイン中はセッションマネージャによって透過的に更新される場合もあります。

Kerberos には厳密な時間要件があり、関連するホストのクロックが制限値内で同期している必要があります。チケットには有効期限があり、ホストのクロックが Kerberos サーバーのクロックと同期していない場合、認証は失敗します。デフォルトの設定では、クロックの時刻の差が 5分以下であることが条件となります。