Kerberos/NTLM認証メカニズム

概要

Kerberosプロトコル は、クライアント/サーバーアプリケーション用の認証プロトコルです。認証のために、Kerberos キー配布センター (KDC) からクライアントにチケットが提供されます。Kerberos チケットは、接続が確立された後にサーバーに提示されます。Kerberos 認証チケットは、クライアントのネットワーク資格情報を表します。

Windows チャレンジ/レスポンス (NTLM) は、Windows オペレーティングシステムを実行するシステムやスタンドアロンシステムを含むネットワークで使用される認証プロトコルです。

Windows認証 クライアントとサーバーの構成に応じて、Kerberos 認証プロトコルまたは NTLM 認証プロトコルのいずれかを使用します。

もっと知る料金プラン

NTLM 認証プロトコル:

この 交渉_メッセージ クライアントからサーバーに送信される NTLM ネゴシエートメッセージを定義します。このメッセージにより、クライアントはサポートされている NTLM オプションをサーバーに指定できます。
この チャレンジ_メッセージ サーバーからクライアントに送信される NTLM チャレンジメッセージを定義します。このメッセージは、サーバーがクライアントに自身の身元を証明するようチャレンジするために使用されます。
この 認証_メッセージ CHALLENGE_MESSAGE がクライアントによって処理された後にクライアントからサーバーに送信される NTLM 認証メッセージを定義します。

Kerberos 認証プロトコル:

メッセージ A: クライアント/ユーザーの秘密キーを使用して暗号化されたクライアント/TGS セッションキー。
メッセージ B: Ticket-Granting-TGS の秘密鍵を使用して暗号化されたチケット。
メッセージ C: メッセージ B の TGT と要求されたサービスの ID で構成されます。
メッセージ D: クライアント/TGS セッションキーを使用して暗号化された認証子。
メッセージ E: サービスの秘密キーを使用して暗号化されたクライアントからサーバーへのチケット。
メッセージ F: クライアント/サーバーセッションキーはクライアント/TGS セッションキーで暗号化されます。
メッセージ G: 新しい認証子。これにはクライアント ID、タイムスタンプが含まれ、クライアント/サーバーセッションキーを使用して暗号化されます。
メッセージ H: クライアント/サーバーセッションキーを使用して暗号化された、クライアントのオーセンティケーターで見つかったタイムスタンプ。

よくあるご質問

その他のよくある質問➔

既存の LDAP ユーザーを Kerberos サービスプリンシパルとして使用できますか?

はい、既存の LDAP ユーザーを Kerberos サービスプリンシパルとして使用できます。ただし、このユーザーのパスワードは無期限に設定されている必要があります。アプリケーションはこのアカウントを Kerberos サービスプリンシパルおよび対応するキータブとして使用して Kerberos チケットを取得するため、このアカウントがどのユーザーにも使用されていないことを確認してください。

「Kerberos クライアント」、「Kerberos サーバー」、「アプリケーションサーバー」とは何ですか?

Kerberos におけるすべての認証は、クライアントとサーバーの間で行われます。したがって、Kerberos サービスのサービスチケットを受け取るエンティティは、Kerberos 用語では「Kerberos クライアント」と呼ばれます。ユーザーは多くの場合クライアントとみなされますが、どのプリンシパルもクライアントになる可能性があります。
キー配布センター (略して KDC) は、通常「Kerberos サーバー」と呼ばれます。認証サービス (AS) とチケット認可サービス (TGS) は両方とも KDC によって実装されます。すべてのプリンシパルに接続されているすべてのパスワードは KDC に保存されます。このため、KDC は可能な限り安全であることが不可欠です。
「アプリケーションサーバー」という語句は、多くの場合、クライアントが Kerberos チケットを使用した認証中に対話するために使用する Kerberos ソフトウェアを指します。アプリケーションサーバーの例としては、Kerberos Telnet デーモンがあります。

資格情報の入力を求めるプロンプトが表示されるのはなぜですか?

これは、認証に Kerberos ではなく NTLM プロトコルが使用されている場合に発生します。
これは、次のような複数の理由で発生する可能性があります。

ドメインに参加しているマシンを使用して Web サイトにアクセスしているかどうかを確認してください。
LDAP サーバーと Web サーバーの間で時間が同期されていることを確認してください。
ブラウザの設定とインターネットオプションが Kerberos SSO 用に構成されているかどうかを確認します。
それでもこの問題が解決しない場合は、お気軽にお問い合わせください。

シングルサインオン

SAMLサービスプロバイダー

OAuth/OpenId Connect クライアント (SSO)

ソーシャルログイン ソーシャルシェアリング

ヘッドレスシングルサインオン

SAML ID プロバイダー

OAuth/OpenId 接続サーバー

YourMembershipを使用してログイン

JWT を使用した自動ログインと登録

ヘルプ＆サポート

多要素認証(MFA)

二要素認証

OTP 経由の WooCommerce パスワード リセット

電話による OTP

一括SMS/WhatsApp通知

OTP検証

OTP リクエストの制限

WhatsApp で OTP と通知を受信する

ヘルプ＆サポート

LDAP/Active Directory 統合

WordPress の LDAP/AD 統合

Active Directory 向け WP スタッフ/従業員検索ディレクトリ

クラウドと共有ホスト WordPress の LDAP/AD 統合

WordPress の Active Directory とのフォーム統合

ヘルプ＆サポート

Office365 統合

SharePoint ワードプレス

PowerBI WordPress の統合

Outlook と MS Teams の統合

Azure AD / Office 365 アプリの統合

Dynamics CRM 365 WordPress の統合

ヘルプ＆サポート

WooCommerce統合

Woocommerce 製品同期

WooCommerce インテグレーター

Dynamics CRM 365 WordPress の統合

Salesforce のオブジェクト データ同期

WordPress Discord インテグレーター

ヘルプ＆サポート

分散ID

デジタルIDログイン

Web3 WordPress認証

WordPress Web3 スイート

WordPress NFT マーケットプレイス

WordPress スマートコントラクト

ヘルプ＆サポート

アドオン

ページと投稿の制限

LearnDash インテグレーター

WooCommerce インテグレーター

SSO ログイン監査

有料会員プロインテグレーター

メディア制限

BuddyPress インテグレーター

WordPress Discord インテグレーター

ゲストユーザーログイン

SCIM ユーザーのプロビジョニング

メンバープレスインテグレーター

SSO セッション管理

属性ベースのリダイレクト

他のプラグイン

RESTAPI認証

WordPress 用のカスタム API

Firebase認証

LMS 向けの WordPress オンライン監督

コード自動化なし

Salesforce のオブジェクト データ同期

サードパーティアプリ向けのWP User Sync統合

WP ユーザーとログインの管理

Webエージェンシー向け管理ツール

ヘルプ＆サポート

シングルサインオン

SAML SSO

クラウド SSO

ケルベロス / NTLM SSO

ヘルプデスク SSO 統合

OAuth/OpenID SSO

Git 認証

高度な SSO オプション

ヘルプ＆サポート

ソーシャルログインソーシャルシェアリング

OTP 経由の WooCommerce パスワードリセット

Salesforce のオブジェクトデータ同期

Salesforce のオブジェクトデータ同期