SPNEGO

Aus InkluPedia
Version vom 15. Mai 2018, 05:07 Uhr von InkluPedia.de - Frank Küster (Diskussion | Beiträge) (tag 1658)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Simple and Protected Generic Security Service Application Program Interface (GSSAPI) Negotiation Mechanism (Abkürzung SPNEGO) ist eine Standardspezifikation für die Authentifizierung in Unternehmensnetzwerken.

SPNEGO handelt dabei zwischen verschiedenen GSSAPI- beziehungsweise SSPI-Mechanismen den besten Mechanismus aus. Im HTTP-Protokoll ist das auf die Netzwerkauthentifikationsprotokolle Kerberos und NTLM (NT LAN Manager) beschränkt.[1] SPNEGO wird zum Beispiel dazu genutzt, um Single-Sign-on (SSO) in Webbrowsern und Groupwareclients zu implementieren.

Unterstützung

SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:

  • Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5[2]) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter Microsoft Windows SSPI, unter Linux, macOS und anderen Unix-Betriebssystemen auf die GSS-API.[3] Auch die Webbrowser Internet Explorer (ab 5.01[4] auf Windows 2000 oder später[2]), Google Chrome (ab 6.0.472[5]) und Apple Safari (ab 2.0[2]) unterstützen SPNEGO.[6]
  • Apache Geronimo[7]
  • IBM Domino / IBM Notes (ab 8.5.1 vom Oktober 2009[9][10][11])
  • IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).[12][13]
  • Microsoft Internet Information Services (IIS) (ab 5.0)[15]
  • SAP NetWeaver Web Application Server Java Release[17]

Geschichte

Die GSSAPI ist eine Programmierschnittstelle für Programme, die auf Security-Dienste zugreifen. Sie wurde im September 1993 im RFC 1508 definiert.[18] Diese wurde im Januar 1997 durch die GSSAPI Version 2 im RFC 2078 ersetzt.[19] Auf GSSAPI basiert SPNEGO. Im Dezember 1998 wurde SPNEGO in RFC 2478 definiert[20] und im Oktober 2005 durch RFC 4178 ersetzt.[21]

Weblinks

Quellen

  1. Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen, Mark Pröhl, dpunkt.verlag, 2012, ISBN 978-3864910951
  2. 2,0 2,1 2,2 Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)
  3. Integrated Authentication - Mozilla | MDN, Apr 17, 2017
  4. GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.
  5. 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail
  6. Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018
  7. Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010
  8. Looking at kerberos authentication in iOS7 | Toby's stuff, September 23, 2014
  9. IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009
  10. Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH (PDF)
  11. IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)
  12. IBM Knowledge Center - Single Sign-on für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung
  13. IBM Knowledge Center - Configuring Active Directory for use with SPNEGO
  14. gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004
  15. Hadoop Security: Protecting Your Big Data Platform von Ben Spivey, Joey Echeverria, O'Reilly Media, Inc., 2015, ISBN 978-1491901342
  16. How to Configure Kerberos Authentication on NetScaler Release 10.0, 20 Sep 2017
  17. SAP-Bibliothek - Benutzerauthentifizierung und Single Sign-On
  18. RFC 1508 - Generic Security Service Application Program Interface
  19. RFC 2078 - Generic Security Service Application Program Interface, Version 2
  20. RFC 2478 - The Simple and Protected GSS-API Negotiation Mechanism
  21. RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism