СПНЕГО

Простой и защищенный механизм согласования GSSAPI ( SPNEGO ), часто произносится как «spenay-go», представляет собой «псевдомеханизм» GSSAPI, используемый клиент-серверным программным обеспечением для согласования выбора технологии безопасности. SPNEGO используется, когда клиентское приложение хочет пройти аутентификацию на удаленном сервере, но ни одна из сторон не знает, какие протоколы аутентификации поддерживает другая сторона. Псевдомеханизм использует протокол, чтобы определить, какие общие механизмы GSSAPI доступны, выбирает один и затем отправляет ему все дальнейшие операции безопасности. Это может помочь организациям поэтапно развертывать новые механизмы безопасности.

Наиболее заметное использование SPNEGO — в Microsoft «HTTP Negotiate» расширении аутентификации . Впервые он был реализован в Internet Explorer 5.01 и IIS 5.0 и обеспечивал возможность единого входа, позже продаваемого как встроенная проверка подлинности Windows . Переговорные подмеханизмы включали NTLM и Kerberos , оба используемые в Active Directory . Расширение HTTP Negotiate позже было реализовано с аналогичной поддержкой в:

• Мозилла 1.7 бета ^[1]
• Мозилла Фаерфокс 0.9
• Конкерор 3.3.1 ^[2]
• Гугл Хром 6.0.472 ^[3]
• Google Chrome для Android m46 ^[4] с помощью аутентификатора Hypergate .
• Microsoft Edge для Android v124 ^[5] с помощью аутентификатора Hypergate .

• 19 февраля 1996 г. - Эрик Байзе и Денис Пинкас публикуют в Интернете проект простого механизма переговоров GSS-API (draft-ietf-cat-snego-01.txt).
• 17 октября 1996 г. — механизму присвоен идентификатор объекта 1.3.6.1.5.5.2 и сокращенно snego .
• 25 марта 1997 г. - добавлено оптимистичное объединение начального токена одного механизма. Это экономит поездку туда и обратно.
• 22 апреля 1997 г. - введена концепция «предпочтительного» механизма. Название проекта стандарта изменено с «Простой» на «Простой и защищенный» ( spnego ).
• 16 мая 1997 г. — добавлены флаги контекста ( делегирование , взаимная аутентификация и т. д.). Обеспечена защита от атак на новый «предпочтительный» механизм.
• 22 июля 1997 г. — добавлено больше контекстных флагов ( целостность и конфиденциальность ).
• 18 ноября 1998 г. – смягчены правила выбора общего механизма. Предпочтение механизма интегрировано в список механизмов.
• 4 марта 1998 г. — произведена оптимизация для нечетного количества бирж. Сам список механизмов сделан необязательным.
• Декабрь 1998 г. ( финал ) — кодировка DER выбрана для устранения неоднозначности MIC в расчете . Проект представлен на стандартизацию как RFC 2478.
• Октябрь 2005 г. — рассматривается возможность взаимодействия с реализациями Microsoft. Некоторые ограничения улучшены и уточнены, а дефекты исправлены. Опубликован как RFC 4178, хотя теперь он несовместим со строгими реализациями устаревшего RFC 2478.

• «Интернет-черновики RFC 4178» . Коллекция всех (текущих и истекших) интернет-черновиков – Черновики . Проверено 23 августа 2014 г.
• «Кросс-платформенная аутентификация на основе HTTP через протокол переговоров» . Библиотека Microsoft Developer Network (MSDN) . Проверено 8 октября 2015 г.
• «использование mod_auth_kerb и Windows 2000/2003 в качестве KDC» . Учебник . Проверено 2 декабря 2005 г.

• RFC 4178 The Simple and Protected GSS-API Negotiation Mechanism (obsoletes RFC 2478 ).
• RFC 4559. Аутентификация HTTP на основе Kerberos и NTLM на основе SPNEGO в Microsoft Windows.