Kerberos認証は、Active Directory ドメインサービス(以下、AD DS)の認証や、その他SSO(シングルサインオン)等に使用されています。
本記事では、AD DS環境で使用されるKerberos認証の、認証先を指定する方法について記載します。
AD DS環境においての正常性確認等で活用できる手順になると思いますので、参考になれば幸いです。
※ なお、本記事はAD DSの知識がある程度ある方を想定しているため、AD DSの基本的な用語説明などは割愛しています。
Kerberos認証とは
Kerberos(ケルベロス)認証とはネットワーク認証方式の1つです。Active Directory ドメイン サービスでは、このKerberos認証を主要な認証方式として利用しています。
Kerberos認証は、接続元のクライアントと接続先のサーバーの両方とも認証ができる、相互認証の仕組みであることが特徴です。
また、Kerberos認証では「チケット」という考え方が重要になります。
Kerberos認証ではID/パスワードまたは証明書などでクライアントの認証が完了した後、認証されたことを示すチケットを発行します。サーバーへアクセスする時はそのチケットを提示して接続します。
一度取得したチケットは保存して利用できるため、サーバー接続する時に再度ユーザーへの認証が求められることはありません。
このチケットは、コマンドを使って確認や削除などを操作を行う事が可能です。この後、実際の操作例をご紹介します。
本記事の想定シナリオ
今回の記事では、以下のようなシナリオを想定しています。
- ドメイン内のクライアントで認証のエラーが発生
- クライアントで接続先のドメインコントローラーを確認
- クライアントで別のドメインコントローラーを指定して認証できるかを確認
現状のKerberos認証先の確認方法
まず、ドメイン参加済みのクライアント端末が、どのドメインコントローラーに向けて認証を実施しているのかを確認する手順を記載します。
- クライアント端末にサインインしコマンドプロンプトを管理者として実行します。
- 以下のコマンドを実行し、現在認証しているドメインコントローラーを確認します。
klist query_bind
klist query bind
Kerberos認証先の指定方法
現状の認証先を確認出来たら、Kerberos認証先に特定のドメインコントローラーを指定してみましょう。
Kerberos認証が実施されると、クライアント端末側でチケットをキャッシュします。そのため、一度キャッシュを削除したうえで、特定のサーバーを指定して認証を実施してみましょう。
- クライアント端末にサインインしコマンドプロンプトを管理者として実行します。
- 以下のコマンドを実行し、キャッシュされたドメインコントローラーとのバインドを削除します。
klist purge_bind
klist purge_bind - 以下のコマンドを実行し、対象のドメインコントローラーに対してバインドを行います
klist add_bind <ドメイン名> <ドメインコントローラー名>
klist add_bind <ドメイン名> <ドメインコントローラー名> - 以下のコマンドを実行し、 ローカルにキャッシュしている Kerberos チケットを削除します。
klist purge
klist purge - クライアント端末からログアウトし、再度サインインを実施します。
- 以下のコマンドを実行し、指定したドメインコントローラーで認証していることを確認します。
klist query_bindklist query bind
ドメインコントローラーからの認証確認方法
ここまではクライアント端末側から認証先のドメインコントローラーを指定する方法を記載してきましたが、ドメインコントローラーからクライアント認証が実施されたことを確認する事も出来ます。
ドメインコントローラー側からの確認にはイベントログを使用します。ドメインコントローラーにサインインし、イベントビューア>Windowsログ>セキュリティを開き、以下のイベントが出力されていることを確認します。
イベントID:4769 Kerberos Service Ticket Operations 成功の監査"
おわりに
本記事の手順は、ドメインコントローラーの正常性確認やテスト等でも利用できると思いますので、是非ご活用いただけますと幸いです。
前野 真夏(日本ビジネスシステムズ株式会社)
クラウドソリューション本部所属。 Microsoft 365ソリューションを主軸に、Active Directoryなどの認証領域も担当している。 趣味はカラオケと銭湯巡り。好きな音楽のジャンルは邦ロック。
担当記事一覧