マイナーな認証方式ではある
IMAP, SMTPサーバーの認証方式として、SSL/TLS証明書というのはあまり一般的な方法ではない。
それだけに対応しているソフトも限られる。
WindowsではMozilla Thunderbirdはいけるが、他はどうなんだろうか。
Androidでは僕が以前から使っていた K-9 Mail はいけるが、他に使えるのが見あたらない。
しかも K-9 MailはSMTPの証明書認証に対応しているようだが、うちのPostfixの設定だと証明書認証と認識してくれない。
Thunderbirdは証明書認証で動いているので、根本的な問題ではないと思うのだが。
(現状はPostfix専用のパスワードを使った認証を併用している)
Thunderbirdの設定を見てみると、IMAPでは、次の認証方式に対応している。
- 通常のパスワード認証
- 暗号化されたパスワード認証
- Kerberos/GSSAPI
- NTLM
- TLS証明書
- OAuth2
ほとんどは「通常のパスワード認証」でしょうね。
「暗号化されたパスワード認証」はSSL/TLS普及前に使ってたもので、今はもう使う人はほとんどいないだろう。
多くのメールソフトはここで終わり、この先に4つも連なってるのはThunderbirdぐらいしかないかな。
TLS証明書はこれまでも紹介してきた通り。(cf. クライアント証明書で通す, パスワードを没収されたので)
問題は残り3つである。
Kerberos/GSSAPI と NTLM はどちらもシングルサインオンの方式である。
認証情報を持った端末であれば、何のパスワードも聞かれることなく認証が完了するということ。
KerberosはMicrosoftのActive Directoryで標準的に使われている方式で、
勤務先の各種サービス(勤怠簿とか)のシングルサインオンもこれなのかなぁと思ったがどうなんだろ。
MicrosoftのWindows用に使われていることが多そうだが、これ自体はオープンな方式で、Active Directory以外でも使われてるそうだ。
NTLMはMicrosoftが以前使っていた方式で、今は推奨されないらしい。
この辺は、Thunderbirdを企業用のメールクライアントとして使うことを想定したものなのかな。
最後に書かれているOAuth2だが、これは実は対応しているメールクライアントは多そう。
というのもGmailを使うなら、この方式に対応している必要があるから。(アプリパスワードを使う場合は別)
ただ、Gmail専用になっていて、一般的なIMAPの設定に使えないことも多いかも知れない。
別にGoogle専用の方式ではなく、ちゃんと標準化された方式なんですけどね。
OAuthというとTwitter使ってる人にはなじみ深いけど、他のアプリやWebサービスと連携させるとき、
「○○があなたのアカウントを利用することを許可しますか」と、一定の権限を許可するか聞かれるが、
あれがOAuthで、ここで許可すると一定の範囲でアカウントを操作することが出来る。
許可したアプリは設定から随時取り消すことが出来る。一方で取り消さない限りはパスワード変更などしても継続して使える。
OAuthで許可を得たアプリは、パスワード情報を握っておらず、許可した範囲の操作だけできるということ。
それでOAuth2では、これがIMAP・SMTPなどにも適用できるようになったので、Googleは使っているということ。
OAuth2を使うと、初回にGoogleの認証をしてGmailの許可を出せば、以後はその権限を使ってアクセスするのでパスワードは関係ない。
SSL/TLS証明書というのも、マニアックな認証方法の1つだってことですよ。
いずれも共通して言えるのはパスワードレスであるということ。
パスワードレス化というところを考えるとぜひ使いたい方式である。
Kerberos/GSSAPIは組織内で決められたアプリを使うようなやり方になるんだろうと思うけど、
OAuth と SSL/TLS証明書 は広く使われそうな予感がする。
汎用のメールクライアントを使うのが時代遅れだって? まぁそんな気もしなくはないがThunderbird使いやすいし。
Author : Hidemaro
Date : 2019/12/01(Sun) 23:30
コンピュータ・インターネット | Comment | trackback (0)