読み込み中...
シングルサインオンの導入
Y社は, 医療機器販売会社であり, 都内に本社を構えている。受発注業務システムのサーバ(以下, 業務サーバという), 営業活動支援システムのサーバ(以下, 営業支援サーバという)など, 複数のサーバを本社で運用している。
Y社では, IT活用の推進によって社員が利用するシステムが増加した結果, パスワードの使い回しが広がり, セキュリティリスクが増大した。また, サーバの運用を担当する情報システム部(以下, 情シスという)では, アカウント情報の管理作業が増大したことから, アカウント情報管理の一元化が課題になった。
このような状況から, Y社は, 社内のシステムへのシングルサインオン(以下, SSOという)の導入を決定した。情シスのZ課長は, SSOの導入検討を部下のX主任に指示した。
〔ネットワーク構成及び機器の設定と利用形態〕
最初に, X主任は, 本社のネットワーク構成及び機器の設定と利用形態をまとめた。X主任が作成した, 本社のネットワーク構成を図1に示す。
現状の機器の設定と利用形態を次に示す。
- (i)社内DNSサーバは, 内部LANのゾーン情報を管理し, 内部LAN以外のゾーンのホストの名前解決要求は, 外部DNSサーバに転送する。
- (ii)外部DNSサーバは, DMZのゾーン情報の管理及びフルサービスリゾルバの機能をもっている。外部DNSサーバは, 社外からの再帰問合せ要求は受け付けない。一方, 社内DNSサーバ及びDMZのサーバからの再帰問合せ要求は受け付け, 再帰問合せ時には, 送信元ポート番号のランダム化を行う。
- (iii)PCには, プロキシ設定でプロキシサーバのFQDNが登録されているが, (a)業務サーバ及び営業支援サーバへのアクセスは, プロキシサーバを経由せずWebブラウザから直接行う。
- (iv)PCのスタブリゾルバは, 社内DNSサーバで名前解決を行う。
- (v)PC, サーバセグメントとDMZのサーバでは, マルウェア対策ソフトが稼働している。マルウェア定義ファイルの更新は, プロキシサーバ経由で行う。
- (vi)(b)PCには, L3SWで稼働するDHCPサーバから, PCのIPアドレス, サブネットマスク及びその他のネットワーク情報が付与される。
| 項番 | アクセス経路 | 送信元 | 宛先 | プロトコル/ポート番号 |
|---|---|---|---|---|
| 1 | インターネット→DMZ | any | ア | TCP/53, イ |
| 2 | any | ウ | TCP/443 | |
| 3 | DMZ→インターネット | ア | any | TCP/53, イ |
| 4 | エ | オ | TCP/80, TCP/443 | |
| 5 | 内部LAN→DMZ | カ | ア | TCP/53, イ |
| 6 | サーバセグメント | プロキシサーバ | TCP/80801) | |
| 7 | PCセグメント | プロキシサーバ | TCP/80801) |
注記 FWは, ステートフルパケットインスペクション機能をもつ。
注1) TCP/8080は, 代替HTTPのポートである。
次に, X主任は, アカウント情報の一元管理をDSによって行い, DSの情報を利用してSSOを実現させることを考え, ケルベロス認証によるSSOについて検討した。
〔ケルベロス認証の概要と通信手順〕
X主任が調査して理解した, ケルベロス認証の概要と通信手順を次に示す。
- ケルベロス認証では, 共通鍵暗号による認証及びデータの暗号化を行っている。
- PCとサーバの鍵の管理及びチケットの発行を行う鍵配布センタ(以下, KDCという)が, DSから取得したアカウント情報を基にPC又はサーバの認証を行う。
- KDCが管理するドメインに所属するPCとサーバの鍵は, 事前に生成してPC又はサーバに登録するとともに, 全てのPCとサーバの鍵をKDCにも登録しておく。
- チケットには, PCの利用者の身分証明書に相当するチケット(以下, TGTという)と, PCの利用者がサーバで認証を受けるためのチケット(以下, STという)の2種類があり, これらのチケットを利用してSSOが実現できる。
- PCの電源投入後に, 利用者がID, パスワード(以下, PWという)を入力してKDCでケルベロス認証を受けると, HTTP over TLSでアクセスする業務サーバや営業支援サーバにも, ケルベロス認証向けのAPIを利用すればSSOが実現できる。
- KDCは, 導入予定のDSで稼働する。
図2中の, ①~⑧の動作の概要を次に示す。
① PCは, DSで稼働するKDCにID, PWを提示して, 認証を要求する。
② KDCは, ID, PWが正しい場合にTGTを発行し, PCの鍵で暗号化したTGTをPCに払い出す。PCは, TGTを保管する。
③ 省略
④ 省略
⑤ PCは, KDCにTGTを提示して, 営業支援サーバのアクセスに必要なSTの発行を要求する。
⑥ KDCは, TGTを基に, PCの身元情報, セッション鍵などが含まれたSTを発行し, 営業支援サーバの鍵でSTを暗号化する。さらに, 暗号化したSTにセッション鍵などを付加し, 全体をPCの鍵で暗号化した情報をPCに払い出す。セッション鍵は, 通信相手の正当性の検証などに利用される。
⑦ PCは, 全体が暗号化された情報の中からSTを取り出し, ケルベロス認証向けのAPIを利用して, STを営業支援サーバに提示する。
⑧ 営業支援サーバは, STの内容を基にPCを認証するとともに, アクセス権限をPCに付与して, HTTP応答を行う。
TGTとSTには, 有効期限が設定されている。(c)PCとサーバ間で, 有効期限が正しく判断できていない場合は, 有効期限内でも, PCが提示したSTを, サーバが使用不可と判断する可能性があるので, PCとサーバでの対応が必要である。
〔SRVレコードの働きと設定内容〕
次に, X主任は, ケルベロス認証を導入するときのネットワーク構成について検討した。ケルベロス認証導入時には, DNSのリソースレコードの一つであるSRVレコードの利用が推奨されているので, SRVレコードについて調査した。DNSサーバにSRVレコードが登録されていれば, サービス名を問い合わせることによって, 当該サービスが稼働するホスト名などの情報が取得できる。
SRVレコードのフォーマットを図3に示す。
X主任は, 図1に示したように, 内部LANにDSを2台導入して冗長化し, それぞれのDSでケルベロス認証を稼働させる構成を考えた。
図3中の, Serviceには, ケルベロス認証のサービス名である, kerberosを記述する。Priorityは, 同一サービスのSRVレコードが複数登録されている場合に, 利用するSRVレコードを判別するための優先度を示す。Priorityが同じ値の場合は, WeightでTargetに記述するホストの使用比率を設定する。Portには, サービスを利用するときのポート番号を記述する。
X主任は, 2台のDSでケルベロス認証を稼働させる場合の, SRVレコードの設定内容を検討した。
X主任が作成した, ケルベロス認証向けのSRVレコードの内容を図4に示す。ここで, DS1とDS2は, 本社に導入予定のDSのホスト名である。
X主任は, 調査・検討結果を基にSSOの導入構成案をまとめ, Z課長に提出した。導入構成案が承認され, 実施に移されることになった。
設問1
〔ネットワーク構成及び機器の設定と利用形態〕について,(1)~(4)に答えよ。
(1)
本文中の下線(a)の動作を行うために,PCのプロキシ設定で登録すべき内容について,40字以内で述べよ。
0 / 40字
(2)
本文中の下線(b)について,(iii)~(v)の実行を可能とするための,その他のネットワーク情報を二つ答えよ。
(3)
表1中のア,ウ~カに入れる適切な字句を,図1又は表1中の字句を用いて答えよ。
(4)
表1中のイに入れるプロトコル/ポート番号を答えよ。
設問2
〔ケルベロス認証の概要と通信手順〕について,(1)~(3)に答えよ。
(1)
攻撃者が図2中の②の通信を盗聴して通信データを取得しても,攻撃者は,⑦の通信を正しく行えないので,営業支援サーバを利用することはできない。⑦の通信を正しく行えない理由を,15字以内で述べよ。
0 / 15字
(2)
図2中で,ケルベロス認証サービスのポート番号88が用いられる通信を,①~⑧の中から全て選び記号で答えよ。
(3)
本文中の下線(c)の問題を発生させないための,PCとサーバにおける対応策を,20字以内で述べよ。
0 / 20字
設問3
〔SRVレコードの働きと設定内容〕について,(1)~(3)に答えよ。
(1)
ケルベロス認証を行うPCが,図4のSRVレコードを利用しない場合,PCに設定しなければならないサーバに関する情報を,25字以内で答えよ。
0 / 25字
(2)
図4のSRVレコードが,PCのキャッシュに存在する時間は何分か答えよ。
(3)
図4の二つのSRVレコードの代わりに,図5の一つのSRVレコードを使った場合,DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。図4と同様の比率でDS1とDS2が使用されるようにする場合の,Aレコードの設定内容を,50字以内で述べよ。ここで,DS1のIPアドレスをadd1,DS2のIPアドレスをadd2とする。
0 / 50字