SPNEGO

Prosty i chroniony mechanizm negocjacyjny GSSAPI ( SPNEGO ), często wymawiany jako „spenay-go”, to „pseudomechanizm” GSSAPI używany przez oprogramowanie klient-serwer do negocjowania wyboru technologii zabezpieczeń. SPNEGO jest używany, gdy aplikacja kliencka chce uwierzytelnić się na zdalnym serwerze, ale żaden koniec nie jest pewien, jakie protokoły uwierzytelniania obsługuje drugi. Pseudomechanizm używa protokołu do określenia, jakie wspólne mechanizmy GSSAPI są dostępne, wybiera jeden, a następnie wysyła do niego wszystkie dalsze operacje bezpieczeństwa. Może to pomóc organizacjom we wdrażaniu nowych mechanizmów bezpieczeństwa w sposób etapowy.

Najbardziej widocznym zastosowaniem SPNEGO jest rozszerzenie uwierzytelniania „HTTP Negotiate” firmy Microsoft . Został po raz pierwszy zaimplementowany w Internet Explorerze 5.01 i IIS 5.0 i zapewniał funkcję pojedynczego logowania, później sprzedawaną jako zintegrowane uwierzytelnianie systemu Windows . Negocjowalne podmechanizmy obejmowały NTLM i Kerberos , oba używane w Active Directory . Rozszerzenie HTTP Negotiate zostało później zaimplementowane z podobną obsługą w:

• Mozilla 1.7 beta
• Mozilla Firefox 0.9
• Konqueror 3.3.1
• Google Chrome 6.0.472

Historia

• 19 lutego 1996 - Eric Baize i Denis Pinkas publikują internetowy mechanizm negocjacji prostego GSS-API (draft-ietf-cat-snego-01.txt).
• 17 października 1996 – Mechanizm otrzymuje identyfikator obiektu 1.3.6.1.5.5.2 i jest w skrócie snego .
• 25 marca 1997 - Dodano optymistyczne podpięcie początkowego żetonu jednego mechanizmu. Oszczędza to podróży w obie strony.
• 22 kwietnia 1997 – Wprowadzenie koncepcji mechanizmu „preferowanego”. Nazwa wersji roboczej standardu została zmieniona z „Prosty” na „Prosty i chroniony” ( spnego ).
• 16 maja 1997 – Dodano flagi kontekstu (delegacja, wzajemne uwierzytelnienie itp.). Zapewniona jest ochrona przed atakami na nowy „preferowany” mechanizm.
• 22 lipca 1997 – Dodano więcej flag kontekstowych ( integralność i poufność).
• 18 listopada 1998 r. – Złagodzone zostają zasady wyboru wspólnego mechanizmu. Preferencja mechanizmu jest zintegrowana z listą mechanizmów.
• 4 marca 1998 – Dokonuje się optymalizacji dla nieparzystej liczby wymian. Sama lista mechanizmów jest opcjonalna.
• Grudzień 1998 ( wersja ostateczna ) – wybrano kodowanie DER , aby ujednoznacznić sposób obliczania MIC . Projekt jest przedłożony do standaryzacji jako RFC 2478.
• Październik 2005 — zajęto się interoperacyjnością z implementacjami firmy Microsoft. Niektóre ograniczenia są poprawione i wyjaśnione, a wady poprawione. Opublikowany jako RFC 4178, chociaż obecnie nie jest kompatybilny ze ścisłymi implementacjami przestarzałego RFC 2478.

Notatki

• „Internetowe wersje robocze RFC 4178” . Kolekcja wszystkich (bieżących i wygasłych) internetowych wersji roboczych — wersje robocze . Źródło 23 sierpnia 2014 r .
• „Uwierzytelnianie międzyplatformowe oparte na HTTP za pośrednictwem protokołu negocjacji” . Biblioteka Microsoft Developer Network (MSDN) . Źródło 8 października 2015 r .
• „używając mod_auth_kerb i Windows 2000/2003 jako KDC” . Samouczek . Źródło 2 grudnia 2005 .

Linki zewnętrzne

• RFC 4178 Prosty i chroniony mechanizm negocjacyjny GSS-API (przestarzały RFC 2478 ).
• Uwierzytelnianie Kerberos i NTLM HTTP oparte na RFC 4559 SPNEGO w systemie Microsoft Windows