Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP- UX Developer Edge  

LDAP、Kerberos、RADIUSで統合認証を自在にあやつるHP-UX

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
LDAP、Kerberos、RADIUSで統合認証を自在にあやつるHP-UX HP-UXで実現するネットワーク&セキュリティ
LDAP、Kerberos、RADIUSで統合認証を自在にあやつるHP-UX
Netscape Directory Serverを軸とするLDAP統合
シングルサインオンを実現するKerberos

シングルサインオンを実現するKerberos


HP-UXに無償バンドルされるもうひとつのソリューションが、MITによって開発された分散認証システム「Kerberos」である。LDAPがディレクトリ・サービス(つまり様々な情報の保管場所)の標準仕様であるのに対し、Kerberosはシングルサインオンのための標準仕様と捉えることができる。すなわち、ユーザ認証の結果を複数のホストやアプリケーション間で共有することで、何度も繰り返しログインする手間をなくす手段を提供するのである。

KerberosではDES暗号化を使用するため、米国政府の輸出規制によって日本国内での利用が制限されていた経緯がある。この理由により、Kerberosは米国では普及しているものの、国内での表立った導入事例は多くはない。しかし現在では、規制緩和によって国内での利用制限は解消されている。実のところ、Windows 2000およびXPクライアントのデフォルトのユーザ認証プロトコルはKerberosであり、またMac OS Xでも採用されているため、国内でもっとも広く利用されているセキュリティ標準と言うこともできるだろう。

図2:Kerberosによるシングルサインオン
図2:Kerberosによるシングルサインオン

ここで、Kerberosによるシングルサインオンのメカニズムを簡単に説明しよう(図2)。Kerberosにおけるユーザ認証は、全てのクライアントとアプリケーションの公開鍵を保管する「KDC(Key Distribution Center)サーバ」と呼ばれるホストを中心に進めることになる。また、KDCサーバ内には以下の2種類のサーバが動作している。

  • 「認証サーバ」:ユーザ認証を担当
  • 「チケット交付サーバ(TGS/Ticket Granting Server)」:チケットの交付を担当
ここで言う「チケット」とは、クライアントがアプリケーションへのアクセス時に提出する切符のようなものだ。この2つのサーバを介して、以下の手順で処理が進む。

  1. まずクライアントは、パスワードや証明書等を認証サーバに送り、ユーザ認証を依頼する。これを受けた認証サーバは、認証後に「チケット交付チケット(TGT/Ticket Granting Ticket)」をクライアントに返す。このTGTとは、いわば「チケットを交付してもらうためのチケット」である。

  2. クライアントは、個々のアプリケーションにアクセスする際に、前出のTGTをTGSに送信する。これを受けたTGSは、指定されたアプリケーションにアクセスするためのチケットをクライアントに返す。

  3. クライアントは、TGSから得たチケットをアプリケーションに送信し、アクセス許可を得る。
このように、クライアントはTGTさえ一度入手すれば、あとはそれを用いて複数のアプリケーションに接続することができる。よって、個々のアプリケーションはユーザ認証の責務から解放され、またアプリケーションへの接続のたびに認証を繰り返す手間も省けるわけである。また、@からBまでのやりとりはすべてクライアントやアプリケーションの公開鍵を使用して暗号化されるため、認証プロセスの秘匿やホスト間の相互認証も実現される。

HP-UXのKerberosソリューション


以上がKerberosによるシングルサインオンの概要であるが、HP-UXではこのメカニズムを利用するためのソリューションをいくつか提供している。まず、HP-UX 11iのオペレーティング環境はKerberos v5サーバを統合しており、Netscape Directory Serverと同様に高度な品質検査とベンダー・サポートの対象としている。また、HP-UX 用 Kerberos Server 3.1では、バックエンド・データベースとしてLDAP(Netscape Directory Server)がサポートされた。これにより、認証データ管理の一層の統合化が可能となった。

また、Kerberosクライアントの開発に必要な各種ユーティリティやライブラリを提供し、図2に示したような分散認証システムの構築を支援する環境を整えている。さらに、HP-UX 11iでは、telnetおよびftp、rcp、rlogin、remshなどの標準的なリモートアクセスコマンドのKerberos対応が施されている。例えばKerberos対応のtelnetを使用する場合、一度KDCサーバにログインしさえすれば、後はパスワードを入力することなしに複数のホストにログイン可能になる。

一方、上述したとおり、KerberosはWindows 2000およびXPにおける標準の認証プロトコルとしても採用されている。そのため、HP-UXに備わるKerberos対応PAMモジュールを利用すれば、HP-UXホストへのログイン認証時にWindowsサーバ上のActive Directoryを参照させることも可能だ。


RADIUSによるモバイル・ユーザ認証の統合化


最後に紹介するのは、ネットワーク・インフラにおけるユーザ認証の標準プロトコル、「RADIUS(Remote Authentication Dial-In User Service)」である。その名が示すとおり、元々はダイヤルアップ接続用アクセス・サーバのユーザ認証を統合化するプロトコルとしてIETFによって標準化されたものだ。しかし最近では、社内に設置された無線LANアクセスポイントやLANスイッチ、VLANへのモバイル・ユーザのアクセスを認証するプロトコルとして広く普及している。

RADIUSを利用したユーザ認証の統合化では、社内ネットワーク上で「RADIUSサーバ」を立てなくてはならない。しかし、ネットワーク・ベンダーが提供する商用RADIUSサーバ・ソフトウェアや、RADIUSサーバ搭載のアプライアンスなどを導入するには、数十万〜数百万円のコストがかかってしまう。ここでも、やはり導入コストが統合認証基盤の構築に立ちはだかる障壁となるのだ。

これに対し、HP-UXでは自社開発のRADIUSサーバ「HP-UX AAA Server」を無償バンドルすることで、ネットワーク・インフラにおける統合認証基盤の構築を容易にしている(図3)。HP-UX AAA Serverは、認証手段として外部のLDAPサーバおよびOracleサーバをサポートしており、これらに保管されているユーザ情報を参照したアクセス管理が可能だ。また、RADIUSプロトコルに加え、無線LAN機器で利用されるEAP(Extensible Authentication Protocol)や、Cisco LEAP(Lightweight Extensible Authentication Protocol)をサポートしており、単なる無償のRADIUSとは異なる高い相互運用性を特長としている。

図3:HP-UX AAA Serverを用いたアクセスポイント認証
図3:HP-UX AAA Serverを用いたアクセスポイント認証

以上、ここではHP-UXのオペレーティング環境に統合された3種類のユーザ認証ソリューションを紹介した。商用のサーバ製品につきまとう導入コストの高さを解消しつつ、オープンソース・ソフトウェアのようなリスクを負うこともない。その結果、統合認証基盤の構築がより身近なものになったことがご理解いただけたはずだ。

関連リンク

 
ツール - ネットワーク&セキュリティ - 認証機能
  PAM、Kerberos、Netscape Directory Server、LDAP-UX Integrationなど認証機能関係のアプリケーションの紹介ページです。
ドキュメント - ネットワーク&セキュリティ
  ネットワークセキュリティの技術とソリューション、認証技術と、DNS (ドメインネームサービス)経路指定、sendmail 、および暗号化におけるセキュリティ機能、ネットワークセキュリティ製品に関する情報、等のドキュメントを掲載しています。
 
最初に戻る 戻る  

その他のコラム(特集)もお読み下さい

 
 

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー ご利用条件・免責事項