СПНЕГО

Протокол безопасности, используемый с GSSAPI

Простой и защищенный механизм согласования GSSAPI ( SPNEGO ), часто произносимый как «spenay-go», — это «псевдомеханизм» GSSAPI, используемый клиент-серверным программным обеспечением для согласования выбора технологии безопасности. SPNEGO используется, когда клиентское приложение хочет пройти аутентификацию на удаленном сервере, но ни одна из сторон не уверена, какие протоколы аутентификации поддерживает другая. Псевдомеханизм использует протокол для определения того, какие общие механизмы GSSAPI доступны, выбирает один из них и затем направляет ему все дальнейшие операции по обеспечению безопасности. Это может помочь организациям поэтапно развертывать новые механизмы безопасности.

Наиболее заметное применение SPNEGO — в расширении аутентификации "HTTP Negotiate" от Microsoft . Впервые оно было реализовано в Internet Explorer 5.01 и IIS 5.0 и обеспечивало возможность единого входа , позже представленную на рынке как Integrated Windows Authentication . Переговорные подмеханизмы включали NTLM и Kerberos , оба используемые в Active Directory . Расширение HTTP Negotiate было позже реализовано с аналогичной поддержкой в:

• Mozilla 1.7 бета ^[1]
• Мозилла Фаерфокс 0.9
• Конкуэрор 3.3.1 ^[2]
• Google Chrome 6.0.472 ^[3]

История

• 19 февраля 1996 г. – Эрик Бейз и Денис Пинкас публикуют проект простого механизма согласования GSS-API в Интернете (draft-ietf-cat-snego-01.txt).
• 17 октября 1996 г. – Механизму присвоен идентификатор объекта 1.3.6.1.5.5.2 и сокращенное название snego .
• 25 марта 1997 г. – Добавлено оптимистичное копирование начального токена одного механизма. Это экономит круговой путь.
• 22 апреля 1997 г. – Введена концепция «предпочтительного» механизма. Название проекта стандарта изменено с просто «Simple» на «Simple and Protected» ( spnego ).
• 16 мая 1997 г. – Добавлены флаги контекста (делегирование, взаимная аутентификация и т. д.). Обеспечена защита от атак на новый «предпочтительный» механизм.
• 22 июля 1997 г. – Добавлены дополнительные флаги контекста ( целостность и конфиденциальность).
• 18 ноября 1998 г. – Правила выбора общего механизма смягчены. Предпочтение механизма включено в список механизмов.
• 4 марта 1998 г. – Проведена оптимизация для нечетного числа обменов. Сам список механизмов сделан необязательным.
• Декабрь 1998 г. ( окончательный вариант ) – выбрано кодирование DER для устранения неоднозначности расчета MIC . Проект представлен для стандартизации как RFC 2478.
• Октябрь 2005 г. – Рассмотрена совместимость с реализациями Microsoft. Некоторые ограничения улучшены и уточнены, а дефекты исправлены. Опубликовано как RFC 4178, хотя теперь оно несовместимо со строгими реализациями теперь уже устаревшего RFC 2478.

Примечания

1. Ошибка Mozilla 17578: Мне нужна аутентификация Kerberos и переадресация TGT
2. "Konqueror имеет поддержку SPNEGO". Apache и Kerberos tutorial . Архивировано из оригинала 19 апреля 2005 года . Получено 30 мая 2005 года .
3. "Поддержка аутентификации SPNEGO". Запрос на улучшение Google Chrome . Архивировано из оригинала 11 ноября 2012 г. Получено 20 ноября 2010 г.

Ссылки

• "Интернет-черновики RFC 4178". Все (текущие и просроченные) интернет-черновики Коллекция – Черновики . Получено 23 августа 2014 г.
• «Кроссплатформенная аутентификация на основе HTTP через протокол Negotiate». Библиотека Microsoft Developer Network (MSDN) . Получено 8 октября 2015 г. .
• "использование mod_auth_kerb и Windows 2000/2003 в качестве KDC". Учебник . Получено 2 декабря 2005 г. .

Внешние ссылки

• RFC 4178 Простой и защищенный механизм согласования GSS-API (заменяет RFC 2478).
• RFC 4559 Аутентификация Kerberos и NTLM HTTP на основе SPNEGO в Microsoft Windows