Protocolo de seguridad utilizado con GSSAPI
El mecanismo de negociación GSSAPI simple y protegido ( SPNEGO ), que a menudo se pronuncia "spenay-go", es un "pseudomecanismo" GSSAPI utilizado por el software cliente-servidor para negociar la elección de la tecnología de seguridad. SPNEGO se utiliza cuando una aplicación cliente desea autenticarse en un servidor remoto, pero ninguno de los extremos está seguro de qué protocolos de autenticación admite el otro. El pseudomecanismo utiliza un protocolo para determinar qué mecanismos GSSAPI comunes están disponibles, selecciona uno y luego le envía todas las operaciones de seguridad posteriores. Esto puede ayudar a las organizaciones a implementar nuevos mecanismos de seguridad de manera gradual.
El uso más visible de SPNEGO es en la extensión de autenticación "HTTP Negotiate" de Microsoft . Se implementó por primera vez en Internet Explorer 5.01 e IIS 5.0 y proporcionó una capacidad de inicio de sesión único que luego se comercializó como Autenticación integrada de Windows . Los submecanismos negociables incluían NTLM y Kerberos , ambos utilizados en Active Directory . La extensión HTTP Negotiate se implementó más tarde con un soporte similar en:
Historia
- 19 de febrero de 1996 – Eric Baize y Denis Pinkas publican el borrador del mecanismo de negociación GSS-API simple de Internet (draft-ietf-cat-snego-01.txt).
- 17 de octubre de 1996 – Al mecanismo se le asigna el identificador de objeto 1.3.6.1.5.5.2 y se abrevia snego .
- 25 de marzo de 1997: Se añade la opción de aprovechar al máximo el token inicial de un mecanismo, lo que ahorra un viaje de ida y vuelta.
- 22 de abril de 1997: se introduce el concepto de mecanismo "preferido". El nombre del proyecto de norma se cambia de "Simple" a "Simple y protegido" ( spnego ).
- 16 de mayo de 1997: se añaden indicadores de contexto (delegación, autenticación mutua , etc.). Se proporcionan defensas contra ataques al nuevo mecanismo "preferido".
- 22 de julio de 1997 – Se agregan más indicadores de contexto ( integridad y confidencialidad).
- 18 de noviembre de 1998 – Se flexibilizan las normas de selección del mecanismo común. La preferencia por el mecanismo se integra en la lista de mecanismos.
- 4 de marzo de 1998: Se realiza una optimización para un número impar de intercambios. La lista de mecanismos en sí misma se hace opcional.
- Diciembre de 1998 ( final ): se elige la codificación DER para aclarar la forma en que se calcula el MIC . El borrador se presenta para su estandarización como RFC 2478.
- Octubre de 2005: se aborda la interoperabilidad con las implementaciones de Microsoft. Se mejoran y aclaran algunas limitaciones y se corrigen defectos. Se publica como RFC 4178, aunque ahora no es interoperable con las implementaciones estrictas de la RFC 2478, que ya está obsoleta.
Notas
- ^ Error 17578 de Mozilla: Quiero autenticación Kerberos y reenvío TGT
- ^ "Konqueror tiene soporte para SPNEGO". Tutorial de Apache y Kerberos . Archivado desde el original el 19 de abril de 2005. Consultado el 30 de mayo de 2005 .
- ^ "Compatibilidad con autenticación SPNEGO". Solicitud de mejora de Google Chrome . Archivado desde el original el 11 de noviembre de 2012. Consultado el 20 de noviembre de 2010 .
Referencias
- "Borradores de Internet de RFC 4178". Colección de todos los borradores de Internet (actuales y vencidos) – Borradores . Consultado el 23 de agosto de 2014 .
- "Autenticación multiplataforma basada en HTTP mediante el protocolo Negotiate". Biblioteca Microsoft Developer Network (MSDN) . Consultado el 8 de octubre de 2015 .
- "Uso de mod_auth_kerb y Windows 2000/2003 como KDC". Tutorial . Consultado el 2 de diciembre de 2005 .
Enlaces externos
- RFC 4178 El mecanismo de negociación GSS-API simple y protegido (obsoleto RFC 2478).
- RFC 4559 Autenticación HTTP NTLM y Kerberos basada en SPNEGO en Microsoft Windows