SPNEGO - SPNEGO

O Mecanismo de Negociação GSSAPI Simples e Protegido ( SPNEGO ), freqüentemente pronunciado "spenay-go", é um "pseudo mecanismo" GSSAPI usado pelo software cliente-servidor para negociar a escolha da tecnologia de segurança. O SPNEGO é usado quando um aplicativo cliente deseja se autenticar em um servidor remoto, mas nenhuma das extremidades tem certeza de quais protocolos de autenticação a outra suporta. O pseudo-mecanismo usa um protocolo para determinar quais mecanismos GSSAPI comuns estão disponíveis, seleciona um e então despacha todas as operações de segurança adicionais para ele. Isso pode ajudar as organizações a implantar novos mecanismos de segurança em fases.

O uso mais visível do SPNEGO é a extensão de autenticação "HTTP Negotiate" da Microsoft . Ele foi implementado pela primeira vez no Internet Explorer 5.01 e IIS 5.0 e forneceu o recurso de logon único posteriormente comercializado como Autenticação Integrada do Windows . Os sub-mecanismos negociáveis ​​incluem NTLM e Kerberos , ambos usados ​​no Active Directory . A extensão HTTP Negotiate foi posteriormente implementada com suporte semelhante em:

• Mozilla 1.7 beta
• Mozilla Firefox 0.9
• Konqueror 3.3.1
• Google Chrome 6.0.472

História

1. 19 de fevereiro de 1996 - Eric Baize e Denis Pinkas publicam o Mecanismo de Negociação de GSS-API Simples de Rascunho da Internet (draft-ietf-cat-snego-01.txt).
2. 17 de outubro de 1996 - O mecanismo recebe o identificador de objeto 1.3.6.1.5.5.2 e é abreviado como snego .
3. 25 de março de 1997 - Adicionada a carona otimista do token inicial de um mecanismo. Isso economiza uma viagem de ida e volta.
4. 22 de abril de 1997 - O conceito de mecanismo "preferido" é introduzido. O nome do padrão de rascunho é alterado de apenas "Simples" para "Simples e protegido" ( spnego ).
5. 16 de maio de 1997 - Os sinalizadores de contexto são adicionados ( delegação , autorização mútua , etc.). As defesas são fornecidas contra ataques ao novo mecanismo "preferido".
6. 22 de julho de 1997 - Mais sinalizadores de contexto são adicionados ( integridade e confidencialidade ).
7. 18 de novembro de 1998 - As regras de seleção do mecanismo comum são relaxadas. A preferência de mecanismo é integrada à lista de mecanismos.
8. 4 de março de 1998 - Uma otimização é feita para um número ímpar de trocas. A própria lista de mecanismos torna-se opcional.

• Dezembro de 1998 final - a codificação DER é escolhida para esclarecer como o MIC é calculado. O rascunho é submetido para padronização como RFC 2478.
• Outubro de 2005 - A interoperabilidade com as implementações da Microsoft é abordada. Algumas restrições são aprimoradas e esclarecidas e os defeitos corrigidos. Publicado como RFC 4178, embora agora não seja interoperável com implementações estritas do agora obsoleto RFC 2478.

Notas

Referências

• "Rascunhos da Internet de RFC 4178" . Todos (atuais e expirados) coleção de rascunhos da Internet - Rascunhos . Retirado em 23 de agosto de 2014 .
• "Autenticação de plataforma cruzada baseada em HTTP por meio do protocolo de negociação" . Biblioteca do Microsoft Developer Network (MSDN) . Retirado em 8 de outubro de 2015 .
• "usando mod_auth_kerb e Windows 2000/2003 como KDC" . Tutorial . Página visitada em 2 de dezembro de 2005 .

links externos

• RFC  4178 O mecanismo de negociação GSS-API simples e protegido (torna RFC 2478 obsoleto  ).
• Autenticação HTTP NTLM e Kerberos baseada em RFC  4559 SPNEGO no Microsoft Windows