СПНЕГО

Протокол безопасности, используемый с GSSAPI

Простой и защищенный механизм согласования GSSAPI ( SPNEGO ), часто произносится как «spenay-go», представляет собой «псевдомеханизм» GSSAPI , используемый клиент-серверным программным обеспечением для согласования выбора технологии безопасности. SPNEGO используется, когда клиентское приложение хочет пройти аутентификацию на удаленном сервере, но ни одна из сторон не знает, какие протоколы аутентификации поддерживает другая сторона. Псевдомеханизм использует протокол, чтобы определить, какие общие механизмы GSSAPI доступны, выбирает один и затем отправляет ему все дальнейшие операции безопасности. Это может помочь организациям поэтапно развертывать новые механизмы безопасности.

Наиболее заметное использование SPNEGO — в расширении аутентификации Microsoft «HTTP Negotiate» . Впервые он был реализован в Internet Explorer 5.01 и IIS 5.0 и обеспечивал возможность единого входа, позже продаваемого как встроенная проверка подлинности Windows . Переговорные подмеханизмы включали NTLM и Kerberos , оба используемые в Active Directory . Расширение HTTP Negotiate позже было реализовано с аналогичной поддержкой в:

• Бета-версия Mozilla 1.7 ^[1]
• Мозилла Фаерфокс 0.9
• Конкерор 3.3.1 ^[2]
• Гугл Хром 6.0.472 ^[3]
• Google Chrome для Android m46 ^[4] с Hypergate Authenticator.

История

• 19 февраля 1996 г. - Эрик Байз и Денис Пинкас публикуют в Интернете проект простого механизма переговоров GSS-API (draft-ietf-cat-snego-01.txt).
• 17 октября 1996 г. — механизму присвоен идентификатор объекта 1.3.6.1.5.5.2 и сокращенно snego .
• 25 марта 1997 г. - добавлено оптимистичное объединение начального токена одного механизма. Это экономит поездку туда и обратно.
• 22 апреля 1997 г. - введена концепция «предпочтительного» механизма. Название проекта стандарта изменено с «Простой» на «Простой и защищенный» ( spnego ).
• 16 мая 1997 г. — добавлены флаги контекста (делегирование, взаимная аутентификация и т. д.). Обеспечена защита от атак на новый «предпочтительный» механизм.
• 22 июля 1997 г. — добавлено больше контекстных флагов ( целостность и конфиденциальность).
• 18 ноября 1998 г. – смягчены правила выбора общего механизма. Предпочтение механизма интегрировано в список механизмов.
• 4 марта 1998 г. — произведена оптимизация для нечетного количества бирж. Сам список механизмов сделан необязательным.
• Декабрь 1998 г. ( финал ) — кодировка DER выбрана для устранения неоднозначности в расчете MIC . Проект представлен на стандартизацию как RFC 2478.
• Октябрь 2005 г. — рассматривается возможность взаимодействия с реализациями Microsoft. Некоторые ограничения улучшены и уточнены, а дефекты исправлены. Опубликован как RFC 4178, хотя сейчас он несовместим со строгими реализациями устаревшего RFC 2478.

Примечания

1. Ошибка Mozilla 17578: мне нужна аутентификация Kerberos и переадресация TGT.
2. «Konqueror имеет поддержку SPNEGO» . Учебное пособие по Apache и Kerberos . Архивировано из оригинала 19 апреля 2005 года . Проверено 30 мая 2005 г.
3. «Поддержка аутентификации SPNEGO» . Запрос на улучшение Google Chrome . Архивировано из оригинала 11 ноября 2012 года . Проверено 20 ноября 2010 г.
4. «Написание аутентификатора SPNEGO для Chrome на Android» . www.chromium.org . Проверено 1 марта 2024 г.

Рекомендации

• «Интернет-черновики RFC 4178». Коллекция всех (текущих и истекших) интернет-черновиков – Черновики . Проверено 23 августа 2014 г.
• «Кросс-платформенная аутентификация на основе HTTP через протокол переговоров». Библиотека Microsoft Developer Network (MSDN) . Проверено 8 октября 2015 г.
• «использование mod_auth_kerb и Windows 2000/2003 в качестве KDC». Руководство . Проверено 2 декабря 2005 г.

Внешние ссылки

• RFC 4178 Простой и защищенный механизм согласования GSS-API (устаревший RFC 2478).
• RFC 4559. Аутентификация HTTP на основе Kerberos и NTLM на основе SPNEGO в Microsoft Windows.