SPNEGO: Unterschied zwischen den Versionen

Aus InkluPedia
(tag 1658)
 
(+)
Zeile 6: Zeile 6:
SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:
SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:


*Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5<ref name="oracle">[https://docs.oracle.com/cd/E19316-01/820-3746/6nf8qcvgh/index.html Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)]</ref>) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter [[Microsoft Windows]] SSPI, unter [[Linux]], macOS und anderen Unix-Betriebssystemen auf die GSS-API.<ref>[https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication Integrated Authentication - Mozilla | MDN, Apr 17, 2017]</ref> Auch die Webbrowser Internet Explorer (ab 5.01<ref>[https://github.com/netsight/netsight.windowsauthplugin GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.]</ref> auf Windows 2000 oder später<ref name="oracle"/>), Google Chrome (ab 6.0.472<ref>[https://bugs.chromium.org/p/chromium/issues/detail?id=28282 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail]</ref>) und Apple Safari (ab 2.0<ref name="oracle"/>) unterstützen SPNEGO.<ref>[https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018]</ref>
*Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5<ref name="oracle">[https://docs.oracle.com/cd/E19316-01/820-3746/6nf8qcvgh/index.html Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)]</ref>) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter [[Microsoft Windows]] SSPI, unter [[Linux]], [[macOS]] und anderen Unix-Betriebssystemen auf die GSS-API.<ref>[https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication Integrated Authentication - Mozilla | MDN, Apr 17, 2017]</ref> Auch die Webbrowser Internet Explorer (ab 5.01<ref>[https://github.com/netsight/netsight.windowsauthplugin GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.]</ref> auf Windows 2000 oder später<ref name="oracle"/>), Google Chrome (ab 6.0.472<ref>[https://bugs.chromium.org/p/chromium/issues/detail?id=28282 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail]</ref>) und Apple Safari (ab 2.0<ref name="oracle"/>) unterstützen SPNEGO.<ref>[https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018]</ref>


*Apache Geronimo<ref>[https://cwiki.apache.org/confluence/display/GMOxDOC21/Using+SPNEGO+in+Geronimo Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010]</ref>
*Apache Geronimo<ref>[https://cwiki.apache.org/confluence/display/GMOxDOC21/Using+SPNEGO+in+Geronimo Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010]</ref>
Zeile 30: Zeile 30:
*[https://tools.ietf.org/html/rfc4178 RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism]
*[https://tools.ietf.org/html/rfc4178 RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism]
*[https://www.ibm.com/support/knowledgecenter/de/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/cwlp_spnego.html IBM Knowledge Center - Single Sign-on für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung]
*[https://www.ibm.com/support/knowledgecenter/de/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/cwlp_spnego.html IBM Knowledge Center - Single Sign-on für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung]
*{{EN-WP|SPNEGO}}


== Quellen ==
== Quellen ==
<references/>
<references/>
{{Normdaten|TYP=s|GND=|LCCN=|NDL=|VIAF=|Wikidata=Q7392616}}


[[Kategorie:Verschlüsselungsprotokoll]]
[[Kategorie:Verschlüsselungsprotokoll]]

Version vom 17. Dezember 2024, 07:52 Uhr

Simple and Protected Generic Security Service Application Program Interface (GSSAPI) Negotiation Mechanism (Abkürzung SPNEGO) ist eine Standardspezifikation für die Authentifizierung in Unternehmensnetzwerken.

SPNEGO handelt dabei zwischen verschiedenen GSSAPI- beziehungsweise SSPI-Mechanismen den besten Mechanismus aus. Im HTTP-Protokoll ist das auf die Netzwerkauthentifikationsprotokolle Kerberos und NTLM (NT LAN Manager) beschränkt.[1] SPNEGO wird zum Beispiel dazu genutzt, um Single-Sign-on (SSO) in Webbrowsern und Groupwareclients zu implementieren.

Unterstützung

SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:

  • Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5[2]) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter Microsoft Windows SSPI, unter Linux, macOS und anderen Unix-Betriebssystemen auf die GSS-API.[3] Auch die Webbrowser Internet Explorer (ab 5.01[4] auf Windows 2000 oder später[2]), Google Chrome (ab 6.0.472[5]) und Apple Safari (ab 2.0[2]) unterstützen SPNEGO.[6]
  • Apache Geronimo[7]
  • IBM Domino / IBM Notes (ab 8.5.1 vom Oktober 2009[9][10][11])
  • IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).[12][13]
  • Microsoft Internet Information Services (IIS) (ab 5.0)[15]
  • SAP NetWeaver Web Application Server Java Release[17]

Geschichte

Die GSSAPI ist eine Programmierschnittstelle für Programme, die auf Security-Dienste zugreifen. Sie wurde im September 1993 im RFC 1508 definiert.[18] Diese wurde im Januar 1997 durch die GSSAPI Version 2 im RFC 2078 ersetzt.[19] Auf GSSAPI basiert SPNEGO. Im Dezember 1998 wurde SPNEGO in RFC 2478 definiert[20] und im Oktober 2005 durch RFC 4178 ersetzt.[21]

Weblinks

Quellen

  1. Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen, Mark Pröhl, dpunkt.verlag, 2012, ISBN 978-3864910951
  2. 2,0 2,1 2,2 Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)
  3. Integrated Authentication - Mozilla | MDN, Apr 17, 2017
  4. GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.
  5. 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail
  6. Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018
  7. Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010
  8. Looking at kerberos authentication in iOS7 | Toby's stuff, September 23, 2014
  9. IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009
  10. Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH (PDF)
  11. IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)
  12. IBM Knowledge Center - Single Sign-on für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung
  13. IBM Knowledge Center - Configuring Active Directory for use with SPNEGO
  14. gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004
  15. Hadoop Security: Protecting Your Big Data Platform von Ben Spivey, Joey Echeverria, O'Reilly Media, Inc., 2015, ISBN 978-1491901342
  16. How to Configure Kerberos Authentication on NetScaler Release 10.0, 20 Sep 2017
  17. SAP-Bibliothek - Benutzerauthentifizierung und Single Sign-On
  18. RFC 1508 - Generic Security Service Application Program Interface
  19. RFC 2078 - Generic Security Service Application Program Interface, Version 2
  20. RFC 2478 - The Simple and Protected GSS-API Negotiation Mechanism
  21. RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism