普段何気なく行っている「ログオン」という作業。コンピュータを使うために,またサーバーに接続するために,欠かせない作業であると分かっていても,実際のところどのような処理が行われているか理解しているだろうか?例えば,Windows 2000 Serverから採用されたActive Directoryで,ログオンに「Kerberos認証」が採用されている。Active Directoryでは,クライアントの時刻設定が狂っているとログオンできなくなるが,これはKerberos認証の仕組みに起因している。突然のトラブルにうろたえないように,ログオンの仕組みそのものを理解しよう。
私たちは普段,コンピュータを使い始めるときに何気なく「ログオン」を実行している。Windowsには,ユーザー名とパスワードを自動入力する機能があるため,ログオンしていることにすら気づかないことがある。しかし,Windows 2000やWindows XP Professionalのように企業内で使用されるOSでは,ログオンは必須の処理だ。もし,ログオンに失敗したならば,そのコンピュータの使用をあきらめざるを得ない(図1)。
ではなぜこれほどまでに,ログオンは重要なのであろうか。その最大の理由は,セキュリティを確保することにある。
ログオンが必須ではなかったWindows 9x系OS
Windows 95/98/Meでは,ユーザー名とパスワードが分からなくなっても,マシンは使用できた。これはWindows 9x系のOSが,ユーザーや使用場所が限定されている個人利用を前提に設計されていたからだ。登録したユーザー以外は使用不可能にするといったセキュリティ上の配慮が,それほど重視されていなかった。
しかし,パソコンが企業内で使われるようになると話は違ってくる。1台のマシンを不特定多数の人間が使用することもあれば,ネットワークを通じて他のコンピュータから不正にアクセスされる危険性も生まれてくる。このような状況下で,安全にコンピュータを使用させるためには,コンピュータを操作できる人間を制限する必要がある。これがログオンである。そして,ログオン時に入力された名前とパスワードが正しいものであるか調べる処理を「認証」と呼ぶ。
冒頭で,「ログオンできなければマシンは使用できない」と説明した。これを厳密に言うと「ログオンしなければ,マシンの資源にアクセスできない」ということになる。つまりログオンに成功すると,アプリケーションやファイルにアクセスする権限が与えられるのである。
さらに,ログオンできればコンピュータのすべての資源にアクセスできるわけでもない。資源の中には,ローカル・マシン上の資源もあれば,ネットワーク上の資源もある。そして個々の資源には,個別にアクセス権が設定されている。
このように,一言で「ログオン」といっても,状況によってその内容は変化する。そこで今回は,マシンの状況によるログオン処理の違いと,認証方法の特徴について解説したい。
