Kerberos - サーバーへのJAAS接続とSQL Serverの信頼済み接続の違い

Question

私の理解では、アクティブなディレクトリサーバーを持つドメイン環境でKerberosを使用するようにJAASとSQL Serverを構成できます。

JAASは、接続時にユーザーまたはファイルからユーザーの資格情報を取得することを理解しました。ディレクトリサーバーにチケットを要求し、サーバーに提示します。

SQL Server Driverはどこからkerberosチケットを取得しますか？ （既存のログインユーザーからクレジットを得ることができるようです）。ユーザーログインチケットを取得するか、ユーザーのログインセッションから資格情報を抽出しますか？

Answer 1

SQL Server Driverは、TGT（ticket granting ticket）からKerberosチケットを取得します。このTGTは、ユーザーのログオンセッションの一部であるチケットで、短期間のチケットを他のサービス（たとえばSQL Server）に対して認証するために使用できます。

Windows Serverリソースキットの "Kerbtrey"ユーティリティを使用して、そのようなチケットを調べることができます。

JAASも同じチケットを使用しますが、チケット+設定（たとえば、Kerberosサーバーの名前）をファイルから取得するように指示する必要があり、そのパスはOSのバージョンによって多少異なります。

SQL Serverドライバは、Wind32 APIを使用してトークンを取得します。