PR

 Active Directoryで採用された新しい認証方式。Active Directoryでは従来のWindows NT LAN Manager(NTLM)認証もサポートするが,デフォルトではKerberos認証を使う。キー配布センター(KDC)と呼ぶ信頼できるサーバーが,サーバーとクライアントの仲介をすることでお互いを正しく確認できる。ドメイン・コントローラがActive Directoryを利用しながらKDCとしてサービスを提供する。

 クライアントがサーバーにアクセスする場合,あらかじめKDCから発行されたセッション・チケットを送る。サーバーはチケットの中身を確認するだけでよく,NTLM認証のようにドメイン・コントローラへ確認する必要はない。セッション・チケットには発信元クライアントの情報が入っており,また送付先のサーバーだけが解読できる仕組みなので,チケットを盗んで悪用することはできない。

 米マサチューセッツ工科大学で開発された。RFC1510で定義されている。Kerberos認証を使うにはクライアントOSも対応していなければならず,Active Directoryで管理されるWindows 2000 Professional以降のOSでしか使えない。