SPNEGO
Simple and Protected Generic Security Service Application Program Interface (GSSAPI) Negotiation Mechanism (Abkürzung SPNEGO) ist eine Standardspezifikation für die Authentifizierung in Unternehmensnetzwerken.
SPNEGO handelt dabei zwischen verschiedenen GSSAPI- beziehungsweise SSPI-Mechanismen den besten Mechanismus aus. Im HTTP-Protokoll ist das auf die Netzwerkauthentifikationsprotokolle Kerberos und NTLM (NT LAN Manager) beschränkt.[1] SPNEGO wird zum Beispiel dazu genutzt, um Single-Sign-on (SSO) in Webbrowsern und Groupwareclients zu implementieren.
Unterstützung
SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:
- Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5[2]) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter Microsoft Windows SSPI, unter Linux, macOS und anderen Unix-Betriebssystemen auf die GSS-API.[3] Auch die Webbrowser Internet Explorer (ab 5.01[4] auf Windows 2000 oder später[2]), Google Chrome (ab 6.0.472[5]) und Apple Safari (ab 2.0[2]) unterstützen SPNEGO.[6]
- Apache Geronimo[7]
- IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).[12][13]
- Konqueror[14]
- Microsoft Internet Information Services (IIS) (ab 5.0)[15]
- NetScaler[16]
- SAP NetWeaver Web Application Server Java Release[17]
Geschichte
Die GSSAPI ist eine Programmierschnittstelle für Programme, die auf Security-Dienste zugreifen. Sie wurde im September 1993 im RFC 1508 definiert.[18] Diese wurde im Januar 1997 durch die GSSAPI Version 2 im RFC 2078 ersetzt.[19] Auf GSSAPI basiert SPNEGO. Im Dezember 1998 wurde SPNEGO in RFC 2478 definiert[20] und im Oktober 2005 durch RFC 4178 ersetzt.[21]
Weblinks
- RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism
- Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation
Quellen
- ↑ Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen, Mark Pröhl, dpunkt.verlag, 2012, ISBN 978-3864910951
- ↑ 2,0 2,1 2,2 Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)
- ↑ Integrated Authentication - Mozilla | MDN, Apr 17, 2017
- ↑ GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.
- ↑ 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail
- ↑ Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018
- ↑ Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010
- ↑ Looking at kerberos authentication in iOS7 | Toby's stuff, September 23, 2014
- ↑ IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009
- ↑ Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH (PDF)
- ↑ IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)
- ↑ Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation
- ↑ IBM Knowledge Center - Configuring Active Directory for use with SPNEGO
- ↑ gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004
- ↑ Hadoop Security: Protecting Your Big Data Platform von Ben Spivey, Joey Echeverria, O'Reilly Media, Inc., 2015, ISBN 978-1491901342
- ↑ How to Configure Kerberos Authentication on NetScaler Release 10.0, 20 Sep 2017
- ↑ SAP-Bibliothek - Benutzerauthentifizierung und Single Sign-On
- ↑ RFC 1508 - Generic Security Service Application Program Interface
- ↑ RFC 2078 - Generic Security Service Application Program Interface, Version 2
- ↑ RFC 2478 - The Simple and Protected GSS-API Negotiation Mechanism
- ↑ RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism