Microsoftが米国時間の11月18日に配信した定例外のセキュリティ更新プログラム「MS14-068」は、極めて深刻な問題を修正するものだった。ユーザーはこの脆弱性を悪用すれば、ログイン中のドメイン内で、自身の特権をドメイン管理者などに自由に昇格できてしまう。 セキュリティ情報の事前通知では、修正される脆弱性が「特権の昇格」であり、深刻度が緊急であると発表されていたが、詳細については公表されていなかった。その後、Microsoftはこの脆弱性に関するさらに詳しい情報を「Security Research and Defense Blog」で公開した。 今回の問題の深刻性を理解するには、「Kerberos認証」の仕組みを知る必要がある。Microsoftは以下の図表を公開している。 今回、脆弱性が発見されたのはドメインコントローラ内のコンポーネント「キー配布センター(KDC)」である。図
Latest Downloads ApacheDS 2.0.0.AM27 Studio 2.0.0-M17 LDAP API 2.1.6 LDAP API 1.0.3 Mavibot 1.0.0-M8 Fortress 3.0.0 SCIMple 1.0.0-M1 Kerby 2.0.3 Sub-Projects ApacheDS Apache Directory Studio Apache LDAP API Apache Mavibot Apache SCIMple Apache Fortress Apache Kerby Resources Top Level Mgmt References Articles Conferences Testimonials Vision Security Advisories Support Mailing Lists & IRC Sources I
CentOS開発チームは12月14日、「CentOS Linux 7(1511)」をリリースした。11月度のローリングリリースでメジャーリリースと位置付けており、Kerberos認証の強化などの機能強化を含む。 CentOSは米Red Hatの「Red Hat Enterprise Linux(RHEL)」との100%の互換性を目指して開発が進められているLinuxディストリビューション。プロジェクトはRed Hatの支援を受けており、RHELのコードをベースに商標やアートワークなど、再配布に問題のあるコンポーネントを取り除いて配布されている。 CentOS開発チームは毎月のローリングリリースを行っており、1511(2015年11月)は11月のリリースとなる。今回のリリースは新たにベースとなるRHELのバージョンが7.2に更新されており、メジャーリリースという位置付けとなっている。Cent
Hadoopには現在、企業などで利用する際にはセキュリティ面での不安があり、そのための改良に取り組んでいます。Yahoo!のHadoop Developmentチームに所属するOwen O'Malley氏による、現在どのような仕組みでHadoopのセキュリティを強化しようとしているのかを説明するプレゼンテーションが「Hadoop User Group March Meeting Recap」のページで公開されています。 Kerberosでシングルサインオンを実現 プレゼンテーションの主なポイントを紹介します。 今回の主たる目的は、「認証されていないユーザーがHDFSにアクセスできないようにすること」となっています。 現在のHadoopには、NameNodeやJobTracker、DataNodeなどでのユーザー認証がないことがセキュリティ上の課題になっていると指摘。
◆ ケルベロス認証とは ケルベロス認証とは、ネットワーク認証方式の1つでありサーバとクライアント間の身元確認のために使用 するプロトコルです。Kerberosはクライアントとサーバとを相互認証できるだけでなくデータ保全のために クライアントとサーバ間の通信を暗号化します。現在ではKerberosバージョン 5 が主に使用されています。 そのため、Kerberosは「 KRB5 」とも呼ばれています。 KerberosはWindows Server Active Directoryのユーザ認証の際に使用しているプロトコルとして有名です。 なお、Active Directoryは単一のサービスではなく、主な機能だけでも3つのプロトコルが使用されています。
WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324, MS14-068)に関する検証レポート 【概要】 Microsoft WindowsのKerberos認証に、リモートから任意のドメインアカウントへ権限昇格を行える脆弱性(CVE-2014-6324)が発見されました。この脆弱性は、Kerberos認証のチケットの署名に対する検証処理に問題があるため、署名に細工をすることによりドメインの特権ユーザーへ昇格することが可能です。 攻撃者がこの脆弱性を利用するためには、ドメインへの有効なログオン情報が必要になります。攻撃者が何らかの方法でドメインユーザーのログオン情報を奪取できた場合、この脆弱性を利用することによりドメインの管理者権限を奪取される可能性があります。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといっ
J. Kohl Digital Equipment Corporation C. Neuman ISI 1993年 9月 English Kerberos ネットワーク認証サービス v5 (The Kerberos Network Authentication Service (V5)) このメモの位置付け このメモは、インターネットコミュニティのための実験的なプロトコルを定めたものです。この内容について検討や提案を行い、意見を寄せください。プロトコルの内容と標準化については、"Internet Official Protocol Standards"の最新版を参照してください。このメモの配布に制限はありません。 要旨 本書は、Kerberos ネットワーク認証システムのプロトコル v5 の概要と仕様について説明しています。[1,2] において説明されている v4 は、現在 MIT の A
この資料では Kerberos 認証を使って、あるクライアントの IE から IIS にアクセスする場合に、 その裏でどのようなモジュールが何をしているのか、各種ツールを使って確認します。 状況設定 ここでは、alice というユーザーアカウントが、Windows ドメイン環境にログインして、 ドメイン内の IIS にアクセスするシナリオを考えます。下図の左下のユーザが Alice と思ってください。 Alice は Windows ドメインにログインしてから、クライアントマシン上の IE から、右下に描かれている IIS へとアクセスします。 この時に発生する Kerberos の動作に着目すると、次のようになります。 クライアントからドメインコントローラ (AS, Authentication Service) への TGT (Ticket Granting Ticket) の要求 T
相対性理論『ケルベロス』MV MV監督:山口崇司 Drawing:やくしまるえつこ 作詞:ティカ・α 作曲:ティカ・α 相対性理論 アルバム「天声ジングル」 DL & STREAM NOW https://linkco.re/6afy3Ntm http://mirairecords.com/stsr/1025 相対性理論「天声ジングル」 1 天地創造SOS 2 ケルベロス 3 ウルトラソーダ 4 わたしがわたし 5 13番目の彼女 6 弁天様はスピリチュア 7 夏至 8 ベルリン天使 9 とあるAround 10 おやすみ地球 11 FLASHBACK ――――――――――――― その音楽は何ものにも染まっていないがゆえに、聞く者すべてをその歌声で染め上げる。いま世界で起きている憎悪と復讐の連鎖を止められるのは、この歌声だけかもしれない、と本気で思った 黒沢清 ――――――――――
NFSv4 と Kerberos を組み合わせて、 NFS のセキュリティの弱さをカバーしてみたいと思います。 長いので 2回に分けました。 今回は Kerberos の初期設定の部分までやってみます。 まずは RHEL/CentOS の場合のやり方を説明し、最後に Ubuntu でやる場合の差分情報をまとめておきます。 ### RHEL/CentOS編 ### RHEL 6.3/CentOS 6.3で確認しました。 Kerberos サーバー側は `krb5-server` パッケージをインストールします。 クライアント側については `krb5-workstation` がデフォルトでインストールされているので、特にインストールする必要はないです。 Kerberos サーバーのことを KDC (Key Distribution Center) と言います。 主に設定変更するファイルは3点
オープンな分散型ネットワーク環境において、セキュリティを確保するために開発された、安全性と高速性を兼ね備えたユーザー認証システム。歴史的には、X Window Systemの開発で有名なマサチューセッツ工科大学(MIT)のAthena(アテナ)プロジェクトの中で誕生したセキュリティシステムである。Kerberosという名は、Athenaと同様、ギリシャ神話を題材にして付けられたもので、冥界(めいど)の門を守護する、3つの頭部と蛇の尾を持つ犬である(「Athena」はギリシャ神話の女神の名)。セキュリティ システムとしては絶妙のネーミングだろう。Kerberosの仕様は、V4と呼ばれるバージョンの時代から一般に公開されており、最新のKerberos V5については、RFC1510として、現在標準化が進められている。Windows 2000では、インターネットへの接続を前提とした徹底したセキュ
作成者 Synge Todo — 投稿日 2007年05月10日 15時58分 最終変更日時 2007年10月23日 10時02分 Linux/CentOS 5 における Kerberos/LDAP サーバの設定, および Linux/CentOS 5, Mac OS X におけるクライアント設定の記録. 参考となったのは Kerberos - Cross-Platform Authentication & Single-Sign-On by J. Garman (O'Reilly, 2003) Kerberos/LDAP/NFS4 HOWTO Replacing NIS with Kerberos and LDAP HOWTO ネットワークの設計 以下のようなネットワーク環境を想定 DNS ドメイン名は todo-lab.t.u-tokyo.ac.jp. DNSサーバはすでに設定されてい
Forefront Identity Manager 2010 (FIM 2010)に限らず Microsoft の製品群は Active Directory を使った Kerberos 認証を多用しています。 こいつです↓(違 これは、いわゆる「ダブルホップ」と言われる認証の委任を行うことが多いためです。 ※もちろん他の理由もありますが。 ダブルホップを知らない方に向けたおさらいですが、Windows ネットワークの世界での認証は一般に NTLM 認証と Kerberos 認証が利用されます。そして、Windows サーバで構成される Web システムといえば、IIS -> SQL Server での2層構造が主流です。 ※ブラウザから IIS へアクセスし、IIS が SQL Server へアクセスするという形でホップが2重になっていることからダブルホップと呼ばれます。 この時、NT
例によって消えたら困るので備忘録 「つけ麺の元祖」大勝軒に自家製チャーシューのつくり方を教わってきた【料理人のまかないメシ】 - メシ通 | ホットペッパーグルメ https://www.hotpepper.jp/mesitsu/entry/maguro/18-00141 【材料】 豚バラ 500g 醤油 1,300cc 日本酒 200cc しょうが(5mmスライス) 1片 長ネギ頭(青い部分だけ) 1本分 ちなみに、醤油と日本酒を合わせたものを「醤油タレ」というそうです。 醤油タレは肉の量の3倍と覚えておいてください。今回、肉は500gなので、1,500ccつまり1.5リットルです。肉が300gなら900ccです。 絶対に入れてはいけないものがあります。それはみりんです。みりんを入れると肉が硬くなるので絶対に入れないでください。 今回はバラ肉ですが、肩ロースやロースなど好きな部位でOKな
Kerberosとは、ネットワーク上でユーザーの認証を行う方式の一つ。Kerberosが利用されている例として、MicrosoftのActive Directoryなどがある。 Kerberosとは、ネットワーク上でユーザーの認証を行う方式の一つ。Kerberosが利用されている例として、MicrosoftのActive Directoryなどがある。名前はギリシャ神話の「ケルベロス」に由来する。MITで開発されており、幾つかのバージョンが存在するが、現在はIETF(Internet Engineering Task Force)でも規格化されているバージョン5が主に利用されている。 Kerberosは、クライアント/サーバ型の構成をとる。「チケット」と呼ばれるものを用いて、パスワードを送受信することなく安全に認証を行える。Kerberos管理下にあるネットワークを「レルム」と呼び、ユーザ
もくじ ニュース Kerberos の紹介 出版されているKerberosについての参考文献 Mac OS X の Kerberos Windows Active Directory MIT Kerberos for Windows krb5-sync KTH Heimdal(国際化版 Kerberos5) Kerberos Telnet for Windows KTH版Kerberos4について Kerberos 4 のインストールと操作について Linux版 eBones FreeBSD版 eBones 関連サイトへのリンク ニュース 2007-12-14 heimdal-1.0.2 リリース 2007-08-09 heimdal-1.0.1 リリース 2007-07-17 heimdal-1.0 リリース 2007-04-24 heimdal-0.8.1 リリース 2007-04-1
概要 Kerberosとは、ネットワークを通じてコンピュータ間で利用者の認証を行う方式の一つ。複数のサーバで共通の認証情報を利用することができ、通信経路を暗号化して認証情報を安全に送受信することができる。シングルサインオン(SSO)を実現する方式として普及している。 Kerberosは利用者の手元のクライアントからネットワークを通じてサーバにアクセスする際に、利用者の身元や本人確認を行う仕組みである。一度認証に成功すれば、認証サーバと連携する他のサーバの資源にもアクセスできるようになる。 利用者のIDやパスワードなどの認証情報は認証サーバ(KDC:Key Distribution Server)により一元的に管理し、KDCに認証されたクライアントには各サーバで利用できる「チケット」(ticket)と呼ばれるデータが発行される。各サーバは利用者が提示したチケットを確認し、アクセスを許諾する。
はじめに・概要 Samba 4 を使用してSamba Active Directory を構築した時の手順備忘録です。 Samba 4 でActive Directory を構築する手順の特徴として、Samba 3 までとは異なる点としては、主に以下の通りです。 Samba 3 までは、LDAP の機能をOpenLDAP などの他のプロセスで対応していましたが、Samba 4 ではsmbd プロセスとして内蔵するようになりました Samba 3 まではwinbindや nmbd 等の機能をそれぞれ別のプロセスとして起動していましたが、それらもsmbd プロセスとして起動するようになりました コマンドインタフェースも変わり、よりシンプルにActive Directory を構築することができるようになりました 構成及び環境 Ubuntu を使用して、Samba Active Director
対象プラットフォーム Red Hat Linux 7.2 Windows 2000 Professional 前提条件 Active Directory は認証に Kerberos 5 を利用しているため、技術的には UNIX などで構築した汎用の Kerberos レルム (Realm) との相互接続性がある。 これにより、以下のようなことが可能になると考えられる。 既存の Kerberos レルムに Windows 2000 を参加させる UNIXとの認証の統合が可能になる。 Windows 2000 の Active Directory を Kerberos 認証サーバ(KDC) として利用する Active Directory で UNIX ホストへアクセスする際の認証を行ったり、既存の Kerberos アプリケーションの認証を行ったりすることが可能となる。 特に Linux で
What is Kerberos? Announcements Security Advisories Kerberos Releases Current release: krb5-1.21.2 Maintenance release: krb5-1.20.2 Kerberos for Windows: kfw-4.1 Historical releases of MIT krb5 Download Sources and binaries from MIT Releases in testing The krb5-current Snapshots (for developers only) Documentation Documentation for the latest release Documentation for unreleased development code H
Google、Sun、Appleなどが「Kerberos Consortium」の支援を表明している。 米マサチューセッツ工科大学(MIT)は9月27日、コンピュータネットワーク保護のためのユーザー認証プラットフォームの普及を目指す「Kerberos Consortium」を設立すると発表した。Centrify、Financial Services Technology Consortium、Google、スタンフォード大学、Sun Microsystems、TeamF1、ミシガン大学が設立スポンサーとして名を連ねている。またAppleも支援を表明している。 Kerberosは、MITの研究プロジェクト「Project Athena」で1980年代に開発されたネットワーク認証プロトコル。多数のネットワークアプリケーションやUNIX、Linuxディストリビューションに採用されているが、大企業
マイクロソフトが月例セキュリティ更新で修正した「CVE-2020-17049」の実証コードが公開された。セキュリティ機関が注意を呼びかけている。 問題の「CVE-2020-17049」は、「Kerberos KDC」におけるセキュリティ機能がバイパスされる脆弱性。脆弱性を悪用することで委任が有効ではないサービスチケットを改ざんし、「KDC」に受け入れさせることが可能になるという。 同社は、11月の月例セキュリティ更新でサービスチケットの検証方法を変更する修正を実施。さらに12月の月例セキュリティ更新で既知の問題へ対応したアップデートを再度リリースした。 あわせて拡張セキュリティ更新プログラム(ESU)の契約者向けに「Windows Server 2008」「Windows Server 2008 R2」に対するセキュリティ更新プログラムを追加している。 同脆弱性への対応は、12月の更新プロ
Kerberos認証とは、ネットワーク越しでアクセスするユーザーを認証するプロトコルである。仕様は、RFC4120やRFC4121で規定される。マイクロソフトのActive Directoryなどが対応している。 Kerberos認証では、「チケット」と呼ぶデータを認証に使う。ユーザーがサーバーにアクセスしようとすると、サーバーはアクセス権を持っているユーザーかどうかを判断する。このとき、ID/パスワードといったテキストのアカウント情報で認証を行うと、暗号化しない限り、ネットワーク上にアカウント情報が平文のまま流れてしまう。そこでKerberos認証では、クライアントのIDやタイムスタンプ、有効期限が含まれるチケットと呼ぶデータを使って認証する。こうすることで、アカウント情報を漏洩しにくくする。 Kerberos認証の仕組みを、Active Directory環境を例にして説明する(図)。
CentOSはあらかじめVirtual Box上に構築済みとします。 Samba4.Xパッケージをインストール Samba4.X系のパッケージはパッケージ内にKerberos機能も搭載しています。 そこで今回は既存のADや構築済みのKerberos認証を用いず、Samba4.X系のパッケージを利用して表題の環境を構築します。 既存のLDAP,Active Directoryを用いてSMBサーバを構築したい時は別方法を参照すること。 http://ftp.samba.org/pub/samba/stable/ 上記URLからwgetなどでtarファイルを取得し解凍、./configure,make,make installを行います。 wget http://ftp.samba.org/pub/samba/stable/samba-4.1.2.tar.gz tar zxvf samba-4.
Explain like I’m 5 years old: Kerberos – what is Kerberos, and why should I care? While this topic probably can not be explained to a 5 year-old and be understood, this is my attempt at defragmenting documentation with some visual aids and digestible language. In a nutshell Basically, Kerberos comes down to just this: a protocol for authentication uses tickets to authenticate avoids storing passwo
この 2 つのプロトコルを同時に扱うのがハイブリッド Azure AD join です。 ハイブリッド Azure AD join とは、ある Windows 端末が Kerberos を司るオンプレミスの ActiveDirectory ドメインコントローラ配下にドメイン参加 (コンピュータアカウントとして登録) しつつ、SAML を司るクラウドサービスの Azure AD にも join (デバイス登録) した状態を指します。(昨今のクラウドサービスは基本的に Web サービスのため SAML との相性が良い) ハイブリッド join した Windows はこの両方の SSO 機能によりオンプレの Windows サーバとクラウドの Web アプリをシームレスにセキュアなアクセスができるようになります。 SAML のシーケンス例今回の例では主流の HTTP Redirect Bind
どうもNFSはパケットだだ漏れ、認証もへったくれもない、スピード狂のネットワークファイルシステムのイメージは拭えない。ただ、Linux のNFSv3では AUTH_SYSぐらいしか使えなかった(使わなかった?)のも大きいかも。 NFSv3 から NFSv4 への移行に合わせて、まともなKerberos認証を組み合わせてみた。 丁度、OpenDirectory にはもれなく、即運用可能なKerberosサーバ群がついてくるので、、、。 前提として NFS サーバ/クライアントは、Fedora2以上/CentOS4以上である。 NFS サーバ/クライアントになるマシンのKerberos のクライアント設定(/etc/krb5.conf)が完了してる。 NFS サーバ/クライアントにはユーザアカウント情報がある。 /etc/passwd ファイル内であれ、LDAPサーバ上であれ、あればいい。 参
netdiag /debug /l /test:kerberos /test:ldap Active Directoryドメインに所属しているコンピュータではKerberos認証とLDAPの機能が正常に機能しているかどうかで,共有フォルダへのアクセス権設定などドメイン・メンバーとしての動作に問題があるかを判断する必要が生じることもあります。このような場合は,Windows 2000/Windows XP/Windows Server 2003のサポート・ツールに含まれるnetdiagコマンドを使えば,Windowsパソコンにおけるネットワーク機能を診断できます。 具体的には,netdiagコマンドをデバッグモード(/debug)で起動し,実行するテスト項目としてkerberosとldapを指定することで,必要な情報を得ることができます(図1)。Kerberos認証のテスト結果は図2のように
NFSv4 と Kerberos を組み合わせることで、NFSのセキュリティとユーザーマッピングの課題を解決してみました。 これまで、自分が NFS を使う際の懸念事項がセキュリティの問題とユーザーマッピングの問題でした。 #### セキュリティについて #### `/etc/exports` でマウントを許可するクライアントを指定することはできるものの、IPアドレスは基本的に自己申告ですから、LAN内にある全てのマシンが信用できるという場合を除いては、かなり危険だと思います。 ある程度規模の大きい LAN につないでいる場合、中には悪い人がいるかもしれません。 例えば、サーバー側が `/etc/exports` に /home 192.168.11.30(rw,sync) と書いて、公開したとします。 他のマシンから $ showmount -e NFS_SERVER_NAME で問い合
3個のファイルが有ります。「横フェーダー」「フィルター」「イコライザー」です。ファイル名で見分けられます。 音ネタはMix1に同梱されています。 さて、それでは、あまりにも突飛な「ナイデバプロジェクト」をご堪能下さい(^^;。 あまり書きたくない言葉ですが、この方法でプレイを行ったとしても、私は一切の責任を取りません。あくまでも個人の責任において導入して下さい。 「プレイの最中にハングしたー」とか言われても、私にはどうする事も出来ません(^^;。 「プレイしていて、白い眼で見られた〜」なんて方は、それを快感にすべく努力して下さい(^^; 準備するもの :Playstation用のパッド。もしくはジョイスティック。(市販品) Playstationを扱っている所であれば、問題無く入手が可能です。操作に問題が無ければパッドを使ってみるのも手だと思います。 ただ、パッドは両手で持つ事が
表1 Kerberosチケット Enc-partにはさまざまなフィールドがありますが、ここでは以下について説明します。 cname: クライアントのプリンシパル識別子の名前部分 認証データ: プリンシパルからの認証データをアプリケーションサービスに渡すために使用。プリンシパルではチケットが代理発行される。この部分には特権属性証明(PAC)が含まれる Kerberos特権属性証明(PAC)とは? Microsoftのドキュメントによると、PACは、認証関連情報を示す構造体であり、認証関連情報はDCで渡されます。PACを認証プロトコルで使用してIDを検証し、認証情報を転送してリソースへのアクセスを制御します。 PAC内のセキュリティ識別子(SID)、相対識別子(RID)といった認証データが、DCに含まれます。 Kerberos委任 Kerberos委任の一般的な使用例は、Webサーバーでデータ
ここでは Kerberos プロトコルに関する以下の概念を説明します。 Kerberos の概要 認証プロセス セキュリティー環境の前提事項 レルムの目的 Kerberos プロトコルのファイル 信任状キャッシュ リプレー・キャッシュ キー・テーブル Kerberos の概要 Kerberos は、通常の共有機密鍵暗号を使用して、信頼のおける第三者機関による認証サービスとして認証を実行します。 Kerberos はプリンシパルの識別を検証する手段を提供します。これは、ホスト・オペレーティング・システムによる認証に依拠せず、信頼をホストのアドレスに基づかず、ネットワーク上のすべてのホストの物理的なセキュリティーを必要とせず、ネットワークを通じて流れるパケットを自由に読み取り、変更、および挿入できるという仮定のもとに行われます。 認証プロセス 認証プロセスには次の主要なステップが含まれていま
前回の「Kerberosインストール手順」の続き。 当初の目的であるHadoopのKerberos化を行う手順を整理する。 Hadoopのインストール 過去記事参照。 今回利用するのはCDH5.6.0。 JCE Policyのインストール AES暗号化をJavaから利用するために、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy FilesをOracleからダウンロードしてインストールする。 インストール方法は添付のREADME.txtに従う。 # cd UnlimitedJCEPolicyJDK8-2/ # ls README.txt US_export_policy.jar local_policy.jar # ll /usr/java/latest/jre/lib/security/ 合計
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く