SPNEGO

Aus InkluPedia

Simple and Protected Generic Security Service Application Program Interface (GSSAPI) Negotiation Mechanism (Abkürzung SPNEGO) ist eine Standardspezifikation für die Authentifizierung in Unternehmensnetzwerken.

SPNEGO handelt dabei zwischen verschiedenen GSSAPI- beziehungsweise SSPI-Mechanismen den besten Mechanismus aus. Im HTTP-Protokoll ist das auf die Netzwerkauthentifikationsprotokolle Kerberos und NTLM (NT LAN Manager) beschränkt.[1] SPNEGO wird zum Beispiel dazu genutzt, um Single-Sign-on (SSO) in Webbrowsern und Groupwareclients zu implementieren.

Unterstützung

SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:

  • Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5[2]) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter Microsoft Windows SSPI, unter Linux, macOS und anderen Unix-Betriebssystemen auf die GSS-API.[3] Auch die Webbrowser Internet Explorer (ab 5.01[4] auf Windows 2000 oder später[2]), Google Chrome (ab 6.0.472[5]) und Apple Safari (ab 2.0[2]) unterstützen SPNEGO.[6]
  • Apache Geronimo[7]
  • IBM Domino / IBM Notes (ab 8.5.1 vom Oktober 2009[9][10][11])
  • IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).[12][13]
  • Microsoft Internet Information Services (IIS) (ab 5.0)[15]
  • SAP NetWeaver Web Application Server Java Release[17]

Geschichte

Die GSSAPI ist eine Programmierschnittstelle für Programme, die auf Security-Dienste zugreifen. Sie wurde im September 1993 im RFC 1508 definiert.[18] Diese wurde im Januar 1997 durch die GSSAPI Version 2 im RFC 2078 ersetzt.[19] Auf GSSAPI basiert SPNEGO. Im Dezember 1998 wurde SPNEGO in RFC 2478 definiert[20] und im Oktober 2005 durch RFC 4178 ersetzt.[21]

Weblinks

Quellen

  1. Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen, Mark Pröhl, dpunkt.verlag, 2012, ISBN 978-3864910951
  2. 2,0 2,1 2,2 Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)
  3. Integrated Authentication - Mozilla | MDN, Apr 17, 2017
  4. GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.
  5. 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail
  6. Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018
  7. Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010
  8. Looking at kerberos authentication in iOS7 | Toby's stuff, September 23, 2014
  9. IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009
  10. Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH (PDF)
  11. IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)
  12. IBM Knowledge Center - Single Sign-on für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung
  13. IBM Knowledge Center - Configuring Active Directory for use with SPNEGO
  14. gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004
  15. Hadoop Security: Protecting Your Big Data Platform von Ben Spivey, Joey Echeverria, O'Reilly Media, Inc., 2015, ISBN 978-1491901342
  16. How to Configure Kerberos Authentication on NetScaler Release 10.0, 20 Sep 2017
  17. SAP-Bibliothek - Benutzerauthentifizierung und Single Sign-On
  18. RFC 1508 - Generic Security Service Application Program Interface
  19. RFC 2078 - Generic Security Service Application Program Interface, Version 2
  20. RFC 2478 - The Simple and Protected GSS-API Negotiation Mechanism
  21. RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism