シングルサインオンの導入に関する次の記述を読んで,設問1〜3に答えよ。
Y社は,医療機器販売会社であり,都内に本社を構えている。受発注業務システムのサーバ(以下,業務サーバという),営業活動支援システムのサーバ(以下,営業支援サーバという)など,複数のサーバを本社で運用している。
Y社では,IT活用の推進によって社員が利用するシステムが増加した結果,パスワードの使い回しが広がり,セキュリティリスクが増大した。また,サーバの運用を担当する情報システム部(以下,情シスという)では,アカウント情報の管理作業が増大したことから,アカウント情報管理の一元化が課題になった。
このような状況から,Y社は,社内のシステムへのシングルサインオン(以下,SSOという)の導入を決定した。情シスのZ課長は,SSOの導入検討を部下のX主任に指示した。
〔ネットワーク構成及び機器の設定と利用形態〕
最初に,X主任は,本社のネットワーク構成及び機器の設定と利用形態をまとめた。X主任が作成した,本社のネットワーク構成を図1に示す。
図1 本社のネットワーク構成(抜粋)
現状の機器の設定と利用形態を次に示す。
(i)社内DNSサーバは,内部LANのゾーン情報を管理し,内部LAN以外のゾーンのホストの名前解決要求は,外部DNSサーバに転送する。
(ⅱ)外部DNSサーバは,DMZのゾーン情報の管理及びフルサービスリゾルバの機能をもっている。外部DNSサーバは,社外からの再帰問合せ要求は受け付けない。一方,社内DNSサーバ及びDMZのサーバからの再帰問合せ要求は受け付け,再帰問合せ時には,送信元ポート番号のランダム化を行う。
(ⅲ)PCには,プロキシ設定でプロキシサーバのFQDNが登録されているが,(a)業務サーバ及び営業支援サーバへのアクセスは,プロキシサーバを経由せずWebブラウザから直接行う。
(ⅳ)PCのスタブリゾルバは,社内DNSサーバで名前解決を行う。
(ⅴ)PC,サーバセグメントとDMZのサーバでは,マルウェア対策ソフトが稼働している。マルウェア定義ファイルの更新は,プロキシサーバ経由で行う。
(ⅵ)(b)PCには,L3SWで稼働するDHCPサーバから,PCのIPアドレス,サブネットマスク及びその他のネットワーク情報が付与される。
図1中のFWに設定されている通信を許可するルールを表1に示す。
表1 FWに設定されている通信を許可するルール
次に,X主任は,アカウント情報の一元管理をDSによって行い,DSの情報を利用してSSOを実現させることを考え,ケルベロス認証によるSSOについて検討した。
〔ケルベロス認証の概要と通信手順〕
X主任が調査して理解した,ケルベロス認証の概要と通信手順を次に示す。
・ケルベロス認証では,共通鍵暗号による認証及びデータの暗号化を行っている。
・PCとサーバの鍵の管理及びチケットの発行を行う鍵配布センタ(以下,KDCという)が,DSから取得したアカウント情報を基にPC又はサーバの認証を行う。
・KDCが管理するドメインに所属するPCとサーバの鍵は,事前に生成してPC又はサーバに登録するとともに,全てのPCとサーバの鍵をKDCにも登録しておく。
・チケットには,PCの利用者の身分証明書に相当するチケット(以下,TGTという)と,PCの利用者がサーバでの認証を受けるためのチケット(以下,STという)の2種類があり,これらのチケットを利用してSSOが実現できる。
・PCの電源投入後に,利用者がID,パスワード(以下,PWという)を入力してKDCでケルベロス認証を受けると,HTTPoverTLSでアクセスする業務サーバや営業支援サーバにも,ケルベロス認証向けのAPIを利用すればSSOが実現できる。
・KDCは,導入予定のDSで稼働する。
X主任は,内部LANにDSを導入したときの,SSOの動作をまとめた。PCの起動から営業支援サーバアクセスまでの通信手順を図2に示す。
図2 PCの起動から営業支援サーバアクセスまでの通信手順(抜粋)
図2中の,1〜8の動作の概要を次に示す。
① PCは,DSで稼働するKDCにID,PWを提示して,認証を要求する。
② KDCは,ID,PWが正しい場合にTGTを発行し,PCの鍵で暗号化したTGTをPCに払い出す。PCは,TGTを保管する。
③ 省略
④ 省略
⑤ PCは,KDCにTGTを提示して,営業支援サーバのアクセスに必要なSTの発行を要求する。
⑥ KDCは,TGTを基に,PCの身元情報,セッション鍵などが含まれたSTを発行し,営業支援サーバの鍵でSTを暗号化する。さらに,KDCは,暗号化したSTにセッション鍵などを付加し,全体をPCの鍵で暗号化した情報をPCに払い出す。セッション鍵は,通信相手の正当性の検証などに利用される。
⑦ PCは,全体が暗号化された情報の中からSTを取り出し,ケルベロス認証向けのAPIを利用して,STを営業支援サーバに提示する。
⑧ 営業支援サーバは,STの内容を基にPCを認証するとともに,アクセス権限をPCに付与して,HTTP応答を行う。
TGTとSTには,有効期限が設定されている。(c)PCとサーバ間で,有効期限が正しく判断できていない場合は,有効期限内でも,PCが提示したSTを,サーバが使用不可と判断する可能性があるので,PCとサーバでの対応が必要である。
〔SRVレコードの働きと設定内容〕
次に,X主任は,ケルベロス認証を導入するときのネットワーク構成について検討した。ケルベロス認証導入時には,DNSのリソースレコードの一つであるSRVレコードの利用が推奨されているので,SRVレコードについて調査した。
DNSサーバにSRVレコードが登録されていれば,サービス名を問い合わせることによって,当該サービスが稼働するホスト名などの情報が取得できる。
SRVレコードのフォーマットを図3に示す。
図3 SRVレコードのフォーマット
X主任は,図1に示したように,内部LANにDSを2台導入して冗長化し,それぞれのDSでケルベロス認証を稼働させる構成を考えた。
図3中の,Serviceには,ケルベロス認証のサービス名である,kerberosを記述する。Priorityは,同一サービスのSRVレコードが複数登録されている場合に,利用するSRVレコードを判別するための優先度を示す。Priorityが同じ値の場合は,WeightでTargetに記述するホストの使用比率を設定する。Portには,サービスを利用するときのポート番号を記述する。
X主任は,2台のDSでケルベロス認証を稼働させる場合の,SRVレコードの設定内容を検討した。
X主任が作成した,ケルベロス認証向けのSRVレコードの内容を図4に示す。ここで,DS1とDS2は,本社に導入予定のDSのホスト名である。
図4 ケルベロス認証向けのSRVレコードの内容
X主任は,調査・検討結果を基にSSOの導入構成案をまとめ,Z課長に提出した。導入構成案が承認され,実施に移されることになった。
設問1 〔ネットワーク構成及び機器の設定と利用形態〕について,(1)〜(4)に答えよ。
(1)本文中の下線(a)の動作を行うために,PCのプロキシ設定で登録すべき内容について,40字以内で述べよ。
解答・解説
解答例
業務サーバと営業支援サーバの FQDN を,プロキシ例外リストに登録する。
解説
ー
(2)本文中の下線(b)について,(ⅲ)〜(ⅴ)の実行を可能とするための,その他のネットワーク情報を二つ答えよ。
解答・解説
解答例
・社内 DNS サーバの IP アドレス
・デフォルトゲートウェイの IP アドレス
解説
ー
(3)表中の ア , ウ 〜 カ に入れる字句を,図1又は表中の字句を用いて答えよ。
解答・解説
解答例
ア:外部 DNS サーバ
ウ:公開 Web サーバ
エ:プロキシサーバ
オ:any
カ:社内 DNS サーバ
解説
ー
(4)表1中の イ に入れるプロトコル/ポート番号を答えよ。
解答・解説
解答例
UDP/53
解説
ー
設問2 〔ケルベロス認証の概要と通信手順〕について(1)〜(3)に答えよ。
(1)攻撃者が図2中の②の通信を盗聴して通信データを取得しても,攻撃者は,⑦の通信を正しく行えないので,営業支援サーバを利用することはできない。⑦の通信を正しく行えない理由を,15字以内で述べよ。
解答・解説
解答例
ST を取り出せないから
解説
ー
(2)図2中で,ケルベロス認証サービスのポート番号88が用いられる通信を,①〜⑧の中から全て選び記号で答えよ。
解答・解説
解答例
①,②,⑤,⑥
解説
ー
(3)本文中の下線(c)の問題を発生させないための,PCとサーバにおける対応策を,20字以内で述べよ。
解答・解説
解答例
PC とサーバ間で時刻同期を行う。
解説
ー
設問3 〔SRVレコードの働きと設定内容〕について,(1)〜(3)に答えよ。
(1)ケルベロス認証を行うPCが,図4のSRVレコードを利用しない場合,PCに設定しなければならないサーバに関する情報を,25字以内で答えよ。
解答・解説
解答例
ケルベロス認証を行うサーバの FQDN
解説
ー
(2)図4のSRVレコードが,PCのキャッシュに存在する時間は何分かを答えよ。
解答・解説
解答例
720
解説
ー
(3)図4の二つのSRVレコードの代わりに,図5の一つのSRVレコードを使った場合,DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。図4と同様の比率でDS1とDS2が使用されるようにする場合の,Aレコードの設定内容を,50字以内で述べよ。ここで,DS1のIPアドレスをadd1,DS2のIPアドレスをadd2とする。
図5 変更後のSRVレコードの内容
解答・解説
解答例
ホスト名が DS に対して,add1 の A レコードを二つ,add2 の A レコードを一つ記述する。
解説
ー
IPA公開情報
出題趣旨
利用するサーバの増加によって,サーバ利用時の煩雑さを避ける目的で,パスワードの使い回しが行われる例が多い。パスワードを使い回すことによって,パスワードリスト攻撃などのリスクが増大する。このリスクを低減する手段として,シングルサインオンの導入が広がっている。
本問では,シングルサインオンを実現する技術の一つである,ケルベロス認証を取り上げた。既設 LAN の中にケルベロス認証を導入する事例を題材に,ネットワークの設計,構築,運用の実務を通して修得した技術が,既設 LAN の各機器の設定情報に基づく動作,ケルベロス認証の仕組み及び DNS の SRV レコードの利用方法などを理解するのに活用できる水準かどうかを問う。
採点講評
問 3 では,ケルベロス認証を題材に,基本的なネットワーク構成における利用形態,認証の仕組み,DNS の SRV レコードの利用方法などについて出題した。全体として正答率は平均的であった。 設問 1(1)は,正答率が低かった。プロキシ設定が行われている状態で,プロキシサーバを経由させない通信がある場合は,プロキシ例外リストに該当するサーバなどの情報を登録することを覚えておいてほしい。設問 1(2)では,社内 DNS サーバの IP アドレスの正答率が低かった。DHCP で,PC などが使用するローカ ル DNS サーバの IP アドレスを配布することは,一般的に行われるので覚えておいてほしい。 設問 2(1)は,正答率が低かった。ケルベロス認証では共通鍵による暗号化が行われるので,通信を盗聴しても,暗号化に用いた共通鍵をもたなければ ST を取り出せないことを導き出してほしい。 設問 3(3)は,正答率が低かった。DS1 と DS2 とを 2:1 の比率で DNS ラウンドロビンによって負荷分散させるという条件を読み取り,代表するホスト名 DS に対する A レコードの設定内容を導き出してほしい。
