ActiveDirectoryでは、「認証」と「承認」作業に「kerberos」(ケルベロス)を使用してます。
Kerberosでの認証/承認では、
認証に成功すると「TGT」(Ticket Granting Ticket)と呼ばれるチケットを発行されます。
その後、承認を行う際に、クライアント側は受け取った「TGT」を提示し、
アクセスしてもよいユーザーであることを確認されると、「ST」(Service Ticket)と呼ばれるチケットが発行され、
ActiveDirectoryドメインの各種リソース(PC、プリンターなど)にアクセスできるようになります。
その後、クライアント側は、「Kerberos」に対して、「再度認証/承認作業は行わず、サービスチケットを使いまわし、
各種リソースにアクセスします。
ActiveDirectory側がTGTとSTをクライアントPCに提供することで認証と承認を制御します。
Kerberos認証は、ActiveDirectoryから受け取った「TGT」をパスワードで復号化します。
そのためパスワードを送信しないため、
ネットワークを介して情報が盗まれるリスクが低い特徴があります。
Kerbros認証の流れ
・認証に成功後「TGT」(Ticket Granting Ticket)が発行
・「TGT」をパスワードで復号化
・クライアント側が「TGT」をActiveDirectoryに提示し、サービスチケットを取得
その3では、「ドメインコントローラー」に関して記載します。