コンピューターアカウントのプロパティを属性エディタで見てみると、以下のような SPN が登録されていることがわかります。 SPN はサービスを一意に識別するために使用することは既に書いた通りですが、それでは、SPN を使用してサービスがどのように認証されるのかについてみてみます。 以下の図を見てください。面倒くささが倍増しますよね。。。でも苦労してまとめてみたんです。。。以降、図とにらめっこしながら読んでくださいね。 既にユーザーはログオンして、TGT(Ticket Granting Ticket)が発行されていると思ってください。ユーザーがログオンすると、Kerberos の KDC(キー配布サービス)から TGT と ”Session Key” が発行されます。TGT はドメイン内のサービスにアクセスするための ”Service Ticket” を発行してもらうための予約券みたいなもの
![KCD(Kerberos Constrained Delegation) を理解する (2)](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6e4cb632c7025e9f5e05fd314fbf6dcd6144e8d/height=288;version=1;width=512/https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fmedia%2Fopen-graph-image.png)