Kerberos

[cover photo]
TOPICS
Security , System/Network
発行年月日
PRINT LENGTH
288
ISBN
4-87311-186-2
原書
Kerberos: The Definitive Guide
FORMAT
Print
3,740円
この商品は品切れ再入荷未定です

Kerberosは「シングルサインオン」を特徴とするネットワーク認証システムです。その名前はギリシア神話に登場する恐ろしい怪物に由来し、この怪物と同様にネットワークにアクセスする者の認証を行います。Kerberosを導入することで、ネットワークの安全と使いやすさの両立が可能になり、ネットワーク管理者とユーザの双方に大きなメリットがもたらされます。本書では、Kerberosの概念、用語、そしてインストールなど基礎的な内容を丁寧に解説し、さらにセキュリティ、トラブルシューティングなどの実践的な情報もカバーします。本書で取り上げるのは、Kerberos 4とKerberos 5の2つのプロトコル、そしてMITとHeimdalの2つの実装です。Windows XPとMac OS Xについても解説が行われています。

目次

訳者まえがき
はじめに

1章 イントロダクション
        1.1 Kerberosの由来
                1.1.1 Kerberosの歴史
        1.2 Kerberosとは何か?
        1.3 Kerberosの目的
        1.4 Kerberosの進化
                1.4.1 初期のKerberos(v1、v2、v3)
                1.4.2 Kerberos 4
                1.4.3 Kerberos 5
                1.4.4 新しい方向
        1.5 他の製品
                1.5.1 DCE
                1.5.2 Globus Security Infrastructure
                1.5.3 SESAME

2章 用語と概念
        2.1 3つの「A」
                2.1.1 認証(Authentication)
                2.1.2 認可(Authorization)
                2.1.3 監査(Auditing)
        2.2 ディレクトリ
        2.3 プライバシーと一貫性
                2.3.1 暗号化
                2.3.2 メッセージ一貫性
        2.4 Kerberos の専門用語と概念
                2.4.1 レルム、プリンシパル、インスタンス
                2.4.2 鍵(Key)、ソルト(Salt)、およびパスワード(Password)
                2.4.3 鍵配布センター(Key Distribution Center)
                2.4.4 チケット(Tickets)
        2.5 パズルの仕上げ

3章 プロトコル
        3.1 Needham-Schroederのプロトコル
        3.2 Kerberos 4
                3.2.1 認証サーバとチケット交付サーバ
                3.2.2 String-to-Key(文字列から鍵へ)変換
                3.2.3 鍵バージョン番号
                3.2.4 パスワード変更
        3.3 Kerberos 5
                3.3.1 世界一短いASN.1チュートリアル
                3.3.2 認証サーバとチケット交付サーバ
                3.3.3 新しい暗号化オプション
                3.3.4 チケットのオプション
                3.3.5 Kerberos 5-to-4チケット変換
                3.3.6 事前認証
                3.3.7 他のプロトコルの機能と拡張
                3.3.8 String-to-Key変換
                3.3.9 パスワード変更
        3.4 Kerberos関連プロトコルの略字だらけの文章
                3.4.1 Generic Security Services API(GSSAPI)
                3.4.2 単純で保護されたGSSAPIネゴシエーションメカニズム

4章 実装
        4.1 基本ステップ
        4.2 インストールの計画
                4.2.1 プラットホームとOSの選択
                4.2.2 KDCパッケージの選択
        4.3 始める前に
        4.4 KDCのインストール
                4.4.1 MIT
                4.4.2 Heimdal
                4.4.3 Windowsドメインコントローラ
        4.5 DNSとKerberos
                4.5.1 DNSでKDCディスカバリのセットアップ
                4.5.2 DNSドメインのName-to-Realmマッピング
        4.6 クライアントとアプリケーションサーバのインストール
                4.6.1 KerberosクライアントとしてのUnix
                4.6.2 KerberosクライアントとしてのMac OS X
                4.6.3 KerberosクライアントとしてのWindows

5章 トラブルシューティング
        5.1 簡易デシジョンツリー
        5.2 デバッグのためのツール
        5.3 エラーと解決策
                5.3.1 イニシャルチケットを入手するときのエラー
                5.3.2 同期の取れていない時計
                5.3.3 間違えたり、見つけられないKerberos構成
                5.3.4 サーバホスト名の構成ミス
                5.3.5 暗号化方式のミスマッチ

6章 セキュリティ
        6.1 Kerberosへの攻撃
                6.1.1 その他の攻撃
        6.2 プロトコルのセキュリティ問題
                6.2.1 辞書攻撃と総あたり攻撃
                6.2.2 リプレイ攻撃
                6.2.3 仲介者攻撃(Man-in-the-Middle Attack)
        6.3 セキュリティソリューション
                6.3.1 事前認証の要求
                6.3.2 パスワード安全性の強化
                6.3.3 パスワードの有効期限と履歴の強化
        6.4 KDCの保護
                6.4.1 Unix KDCの保護
                6.4.2 Windowsドメインコントローラの保護
                6.4.3 継続的なメンテナンス
        6.5 ファイアウォールとNATとKerberos
                6.5.1 Kerberosのネットワークポート
                6.5.2 Kerberos と NAT
        6.6 監査
                6.6.1 ログの出力を有効にする
                6.6.2 ログの分析

7章 アプリケーション
        7.1 Kerberosサポートとは
        7.2 サービスとKeytab
        7.3 PAMによる透過的なKerberosログイン
                7.3.1 PAMの構成
        7.4 Mac OS Xとログインウインドウ
        7.5 KerberosとWebベースのアプリケーション
                7.5.1 mod_auth_kerb Apacheモジュールを構築
                7.5.2 mod_auth_kerbを構成
        7.6 簡易認証とセキュリティのレイヤー(SASL)
                7.6.1 ディストリビューションを構築
                7.6.2 SASLの構成
                7.6.3 saslauthdの構成
        7.7 Kerberos対応のサーバパッケージ
                7.7.1 電子メール(Cyrus IMAP)
                7.7.2 ディレクトリサービス(OpenLDAP)
                7.7.3 リモートログイン(OpenSSH)
        7.8 Kerberos対応のクライアントパッケージ
                7.8.1 Kerberos対応のSecure Shellクライアント
                7.8.2 Reflection X
                7.8.3 電子メール
        7.9 その他のKerberosが有効なパッケージ

8章 高度なトピック
        8.1 クロスレルム認証
                8.1.1 クロスレルム関係を実装
        8.2 Kerberos 5でKerberos 4サービスを利用する
        8.3 Windowsに関する問題
                8.3.1 暗号化アルゴリズムのサポート
                8.3.2 キャッシュされるログイン証明書
                8.3.3 Windows Active Directly認可フィールド
        8.4 WindowsとUnixの相互運用性
                8.4.1 UnixクライアントのKDCとして Windowsドメインコントローラを使う
                8.4.2 WindowsクライアントのためにMicrosoft以外のKDCを使う

9章 ケーススタディ
        9.1 組織
        9.2 計画
                9.2.1 Kerberosレルムの計画
                9.2.2 存在するネットワークのレイアウト
                9.2.3 Kerberos KDCの計画
        9.3 実装
                9.3.1 UNIX.SAMPLE.COMの実装
                9.3.2 SAMPLE.COMとのクロスレルム関係の確立
                9.3.3 LABS.SAMPLE.COMの実装
                9.3.4 アプリケーションの構成

10章 Kerberosの将来
        10.1 公開鍵拡張
                10.1.1 公開鍵暗号
                10.1.2 初期認証(PKINIT)
                10.1.3 クロスレルム(PKCROSS)
        10.2 スマートカード
                10.2.1 スマートカードとKerberosプロトコル
        10.3 よりよい暗号化
        10.4 Kerberos委託
                10.4.1 ユーザプリンシパルのカノニカル化
                10.4.2 サービスプリンシパルのカノニカル化
                10.4.3 クロスレルム委託
        10.5 Webサービス

付録 リファレンス
        A.1 MIT
        A.2 Heimdal
        A.3 Windows ドメインコントローラ
        A.4 構成ファイルのフォーマット

索引