Kerberos認証をJRPG風に説明してみた

プロモーションを含みます
プロモーションを含みます
Ad

ケルベロクエスト

ここはケルベロスキングダム。遥か彼方の辺境にある小さな国である。
この国では、国民である証さえ持っていれば何不自由ない暮らしが約束されている。そんな小さな国に、魔王討伐を果たした勇者てこが帰郷したところからこの物語は始まる。

登場人物

  • 勇者てこ (ユーザー)
  • ケルベロスキングダム国王 (KDC)
  • 門番 (AS)
  • チケット発行所 (TGS)

冒険の書: 勇者の帰郷

Key Distribution Server
Key Distribution Server

私がケルベロスキングダム (レルムの) 国王 KDC である。ケルベロスキングダム国民 (プリンシパル) と施設 (プリンシパル) を統治する者。国民には、すべての施設を無料で開放している。自由に利用するがよいぞ。

ケルベロスキングダムでは、国民と施設 (プリンシパル) 門番 (AS)チケット売り (TGS)国王 (KDC) が統治している。

門番 (AS) は国王の右腕であり、チケット売り (TGS) は左腕である。

勇者てこはケルベロスキングダムで生まれ育ち、16歳になるまで暮らしていた。
ある日、国全体が闇の妖気に包まれ始めた…

…それから20年後。

魔王討伐へ行っていた勇者てこは、みごと魔王討伐に成功し、故郷へ帰ってきたのである。

User
User

魔王を成敗し、20年ぶりに故郷へ帰ってきた。王国の中へ入りたい

<span class="fz-12px">Authentication Server</span>
Authentication Server

ん?誰だおまえ。名を名乗れ

なんと!勇者てこは、忘れられていた。
User
User

てこだ

<span class="fz-12px">Authentication Server</span>
Authentication Server

生年月日も確認する

User
User

桜35年12月1日だ

門番 (AS) は、国王 (KDC) から預かっていた、キングダム国民リスト (認証データベース) と照らし合わせた。
<span class="fz-12px">Authentication Server</span>
Authentication Server

よし、通ってよい!

<span class="fz-12px">Authentication Server</span>
Authentication Server

ちょっと待て、これも持っていけ

門番 (AS) は、ケルベロスキングダム国民の証である、キングダム国民証 (TGT) を勇者てこに手渡した。

なんと!勇者てこは、キングダム国民証 (TGT) を手に入れた!

<span class="fz-12px">Authentication Server</span>
Authentication Server

ただし、それには有効期限があるから注意しな

門番 (AS) は、キングダム国民証 (TGT) には、10時間の有効期限があることを伝えた。
<span class="fz-12px">Authentication Server</span>
Authentication Server

KDC 国王認定のチケット発行所 (TGS) へ行き、その国民証 (TGT) を見せろ。王国内の施設 (サーバ) が利用できるキングダム施設利用券 (ST) を発行してもらえるぞ

<span class="fz-12px">Authentication Server</span>
Authentication Server

まずは銭湯にでも行ってみてはどうだ。長旅で疲れているだろう?

勇者てこは、銭湯を利用するためチケット発行所 (TGS) へと向かった。
Ticket Granting Server
Ticket Granting Server

ここはチケット発行所よ。チケットを発行する前にケルベロスキングダム国民の証であるキングダム国民証 (TGT) を見せてね。

勇者てこは、門番 (AS) からもらったキングダム国民証 (TGT) をチケット売りに見せた。
Ticket Granting Server
Ticket Granting Server

おーけー。あなたは間違いなくケルベロスキングダムの国民ね。で、どの施設を利用したい?銭湯、酒場、カジノ、ごはん屋、ほかにも色々あるわ

User
User

長旅の疲れを癒すため、銭湯を利用したい

Ticket Granting Server
Ticket Granting Server

じゃあこのチケットね、はいどうぞ!

チケット売り (TGS) は、銭湯利用チケット (ST) を勇者てこに手渡した。

なんと!勇者てこは、銭湯利用チケット (ST) を手に入れた!

勇者てこは、長旅の疲れを全てきれいに洗い流し、静かに湯舟に浸かった。

20分後…

体力が回復した勇者てこは、空腹を満たすため、再びチケット発行所 (TGS) へと向かった。
Ticket Granting Server
Ticket Granting Server

あ~ら勇者てこ君、また来たのね。次は食事でもする?…っとその前にキングダム国民証 (TGT) を見せてね。都度確認するよう KDC 国王から言われているの

勇者てこは、再びキングダム国民証 (TGT) をチケット売りに見せた。
Ticket Granting Server
Ticket Granting Server

おーけー。じゃあ次はどこにする?

User
User

ごはん屋のチケットをもらいたい

Ticket Granting Server
Ticket Granting Server

はい。これどうぞ!

なんと!勇者てこは、ごはん屋利用チケット (ST) を手に入れた!

…こうして勇者てこは、元の平和な生活へ戻ったのであった。めでたしめでたし。

ケルベロス認証の用語

KDC (Key Distribution Server)
サーバーとクライアントを一元管理するデータベースのこと。
(AS と TGS を内包している)

AS (Authentication Server)
ユーザーを認証し、TGT を交付するサーバーのこと。
(KDC の一部)

TGT (Ticket Granting Ticket)
サービスチケット発行の元となるチケットのこと。

TGS (Ticket Granting Server)
サービスチケットを発行するサーバーのこと。
(KDC の一部)

ST (Service Ticket)
サーバーのサービスを利用するためのサービスチケットのこと。
人気ゲームソフトを店頭で並んで買う時の整理券のようなもの。

プリンシパル (Principal)
ユーザーとサーバーのこと。
上記の例で言うとゲーム販売店と客にあたる。

レルム (Realm)
ドメインと同じような意味を持つ。領域のこと。

まとめ

ケルベロス認証とは、ネットワーク認証プロトコルの一つで SSO (シングルサインオン) を実現する方法の一つ

ユーザーの認証は最初だけ。以降は各サーバーに対し、チケットを使用してサービスを利用することができる。

認証・認可プロトコル。

NTLM (New Technology LAN Manager) 認証の後継にあたる。