OUの作成やコンピュータの登録など、活用方法を見てみよう

Active Directoryの認証と承認の違いとは？

2010年04月20日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

前回はドメインコントローラを構成し、Active Directoryドメイン環境を構築した。続いては、コンピュータアカウントやユーザーアカウントの登録方法や、クライアントコンピュータからログオンする方法など、できあがったActive Directoryを利用する方法について解説する。

Active Directoryの認証の仕組み

　Active Directoryに登録されたユーザーは、正しく登録されていることが確認されると、ドメイン内のファイルサーバや情報といった資源を利用できるようになる。この確認する作業を「認証（Authentication）」と呼ぶ。ただし、ドメインコントローラによる認証が行なわれるのは、ドメインにログオンするときなどであり、ファイルサーバや情報にアクセス許可が与えられているかどうかを確認するには、別途「承認（Authorize）」という作業が行なわれる。認証と承認はディレクトリサービスの基本なのだ。

　認証のための準備は、コンピュータとユーザーの両方で必要である。いずれも「アカウント」という形でActive Directoryデータベースに登録する。実際の認証は一種のパスワードを使って行なわれる。

Kerberos認証と承認

　Active Directoryは、第3回で紹介した「Kerberos認証」を利用する。これは、ドメインコントローラで認証を行なう初期ログオンと、対象とするサーバに対するアクセス認証の2段階で行なわれる。まず、初期ログオンの手順は、以下の通りだ（図1）。

クライアント上でユーザーが入力したパスワードを暗号化し、ドメインコントローラに送信（図1の(1)）
ドメインコントローラは、送られてきたパスワードをActive Directoryデータベースに登録されたパスワードと照合する（図1の(2)）
正しいパスワードだった場合は、ドメインコントローラが、そのユーザーが本物であるという「有効期限付チケット」を発行し、クライアントに送る（図1の(3)）。このチケットは、今後サーバにアクセスするためのチケットを取得するためのチケットとして使うため「チケット許可チケット（Ticket-Granting Ticket：TGT）」と呼ばれる

図1●初期ログオンの仕組み（ドメインコントローラでの認証）

　ドメインコントローラへの初期ログオンは、通常PCにログオンしたときに行なわれる。続いて、ファイルサーバなどにアクセスすると、以下のような手順でアクセス認証が行なわれる（図2）。

ユーザーは、TGTを添付してファイルサーバの利用許可をドメインコントローラに要求（図2の(1)）
ドメインコントローラはTGTを確認する（図2の(2)）。TGTにはドメインコントローラしか知らない情報が暗号化されている。そのためTGTを提示することで、以前認証したユーザーであることがわかる
ドメインコントローラは、ユーザーに「サービス利用チケット」を送信する（図2の(3)）。サービス利用チケットにはファイルサーバのパスワードで暗号化されたデータが含まれる
ユーザーがサービス利用チケットをファイルサーバに提示（図2の④）。サービス利用チケットに、ファイルサーバとドメインコントローラしか暗号化できないデータが含まれることを確認する。これにより、ファイルサーバは、ドメインコントローラがクライアントを正当なユーザーだと認めたことが確認できる

図2●サーバへのアクセスの承認

　Kerberos認証では、ユーザーのパスワードだけではなく、サーバにもパスワードが必要である。また、初期パスワードの送信が可能なクライアントもKerberos認証を行なうためパスワードが必要だ。これは「信頼できないコンピュータから送られてきたパスワードは、信頼できない」という原則に基づいている。ただしActive Directoryでは、コンピュータのパスワードは自動的に構成され、自由に設定できない。