SPNEGO: Unterschied zwischen den Versionen
(tag 1658) |
(+) |
||
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 6: | Zeile 6: | ||
SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind: | SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind: | ||
*Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5<ref name="oracle">[https://docs.oracle.com/cd/E19316-01/820-3746/6nf8qcvgh/index.html Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)]</ref>) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter [[Microsoft Windows]] SSPI, unter [[Linux]], macOS und anderen Unix-Betriebssystemen auf die GSS-API.<ref>[https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication Integrated Authentication - Mozilla | MDN, Apr 17, 2017]</ref> Auch die Webbrowser Internet Explorer (ab 5.01<ref>[https://github.com/netsight/netsight.windowsauthplugin GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.]</ref> auf Windows 2000 oder später<ref name="oracle"/>), Google Chrome (ab 6.0.472<ref>[https://bugs.chromium.org/p/chromium/issues/detail?id=28282 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail]</ref>) und Apple Safari (ab 2.0<ref name="oracle"/>) unterstützen SPNEGO.<ref>[https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018]</ref> | *Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5<ref name="oracle">[https://docs.oracle.com/cd/E19316-01/820-3746/6nf8qcvgh/index.html Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)]</ref>) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter [[Microsoft Windows]] SSPI, unter [[Linux]], [[macOS]] und anderen Unix-Betriebssystemen auf die GSS-API.<ref>[https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication Integrated Authentication - Mozilla | MDN, Apr 17, 2017]</ref> Auch die Webbrowser Internet Explorer (ab 5.01<ref>[https://github.com/netsight/netsight.windowsauthplugin GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.]</ref> auf Windows 2000 oder später<ref name="oracle"/>), Google Chrome (ab 6.0.472<ref>[https://bugs.chromium.org/p/chromium/issues/detail?id=28282 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail]</ref>) und Apple Safari (ab 2.0<ref name="oracle"/>) unterstützen SPNEGO.<ref>[https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018]</ref> | ||
*Apache Geronimo<ref>[https://cwiki.apache.org/confluence/display/GMOxDOC21/Using+SPNEGO+in+Geronimo Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010]</ref> | *Apache Geronimo<ref>[https://cwiki.apache.org/confluence/display/GMOxDOC21/Using+SPNEGO+in+Geronimo Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010]</ref> | ||
Zeile 14: | Zeile 14: | ||
*IBM Domino / IBM Notes (ab 8.5.1 vom Oktober 2009<ref>[https://www.heise.de/newsticker/meldung/IBM-bringt-Lotus-Notes-und-Domino-in-Version-8-5-1-814006.html IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009]</ref><ref>[https://www.netzgoetter.net/internet/blogs/netzgoetter.nsf/dx/dnug-2009-11-17-New-Features-8-5-1.pdf/$file/dnug-2009-11-17-New-Features-8-5-1.pdf Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH] (PDF)</ref><ref>[https://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_SECURITY_NEW_FEATURES_OVER_85.html IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)]</ref>) | *IBM Domino / IBM Notes (ab 8.5.1 vom Oktober 2009<ref>[https://www.heise.de/newsticker/meldung/IBM-bringt-Lotus-Notes-und-Domino-in-Version-8-5-1-814006.html IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009]</ref><ref>[https://www.netzgoetter.net/internet/blogs/netzgoetter.nsf/dx/dnug-2009-11-17-New-Features-8-5-1.pdf/$file/dnug-2009-11-17-New-Features-8-5-1.pdf Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH] (PDF)</ref><ref>[https://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_SECURITY_NEW_FEATURES_OVER_85.html IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)]</ref>) | ||
*IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).<ref>[https://www.ibm.com/ | *IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).<ref>[https://www.ibm.com/docs/en/was-liberty/base?topic=authentication-single-sign-http-requests-using-spnego-web Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation]</ref><ref>[https://www.ibm.com/support/knowledgecenter/en/SS4J57_6.2.0/com.ibm.tivoli.fim_bg.doc_6.2/installconfig/task/config/fsso/configuringmsadforSPNEGO.html IBM Knowledge Center - Configuring Active Directory for use with SPNEGO]</ref> | ||
*Konqueror<ref>[http://article.gmane.org/gmane.comp.kde.devel.kfm/6300 gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004]</ref> | *Konqueror<ref>[http://article.gmane.org/gmane.comp.kde.devel.kfm/6300 gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004]</ref> | ||
Zeile 29: | Zeile 29: | ||
== Weblinks == | == Weblinks == | ||
*[https://tools.ietf.org/html/rfc4178 RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism] | *[https://tools.ietf.org/html/rfc4178 RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism] | ||
*[https://www.ibm.com/support/knowledgecenter/de/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/cwlp_spnego.html | *[https://www.ibm.com/docs/en/was-liberty/base?topic=authentication-single-sign-http-requests-using-spnego-web Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation] <!-- 17.12.2024: früher www.ibm.com/support/knowledgecenter/de/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/cwlp_spnego.html, nun Weiterleitung --> | ||
== Quellen == | == Quellen == | ||
<references/> | <references/> | ||
{{Normdaten|TYP=s|GND=|LCCN=|NDL=|VIAF=|Wikidata=Q7392616}} | |||
[[Kategorie:Verschlüsselungsprotokoll]] | [[Kategorie:Verschlüsselungsprotokoll]] |
Aktuelle Version vom 17. Dezember 2024, 07:56 Uhr
Simple and Protected Generic Security Service Application Program Interface (GSSAPI) Negotiation Mechanism (Abkürzung SPNEGO) ist eine Standardspezifikation für die Authentifizierung in Unternehmensnetzwerken.
SPNEGO handelt dabei zwischen verschiedenen GSSAPI- beziehungsweise SSPI-Mechanismen den besten Mechanismus aus. Im HTTP-Protokoll ist das auf die Netzwerkauthentifikationsprotokolle Kerberos und NTLM (NT LAN Manager) beschränkt.[1] SPNEGO wird zum Beispiel dazu genutzt, um Single-Sign-on (SSO) in Webbrowsern und Groupwareclients zu implementieren.
Unterstützung
SPNEGO wird von vielen wichtigen IT-Infrastruktur-Komponenten und Endbenutzerprodukten unterstützt, darunter sind:
- Webbrowser: Die Webbrowser Mozilla Firefox / Mozilla (ab 1.5[2]) haben SPNEGO nicht selbst implementiert sondern setzen auf Programmbibliotheken des Betriebssystems auf. Unter Microsoft Windows SSPI, unter Linux, macOS und anderen Unix-Betriebssystemen auf die GSS-API.[3] Auch die Webbrowser Internet Explorer (ab 5.01[4] auf Windows 2000 oder später[2]), Google Chrome (ab 6.0.472[5]) und Apple Safari (ab 2.0[2]) unterstützen SPNEGO.[6]
- Apache Geronimo[7]
- IBM WebSphere Application Server mit Microsoft Windows Server, Microsoft Active Directory Domäne und zugeordnetem Kerberos-Key-Distribution-Center (KDC).[12][13]
- Konqueror[14]
- Microsoft Internet Information Services (IIS) (ab 5.0)[15]
- NetScaler[16]
- SAP NetWeaver Web Application Server Java Release[17]
Geschichte
Die GSSAPI ist eine Programmierschnittstelle für Programme, die auf Security-Dienste zugreifen. Sie wurde im September 1993 im RFC 1508 definiert.[18] Diese wurde im Januar 1997 durch die GSSAPI Version 2 im RFC 2078 ersetzt.[19] Auf GSSAPI basiert SPNEGO. Im Dezember 1998 wurde SPNEGO in RFC 2478 definiert[20] und im Oktober 2005 durch RFC 4178 ersetzt.[21]
Weblinks
- RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism
- Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation
Quellen
- ↑ Kerberos: Single Sign-on in gemischten Linux/Windows-Umgebungen, Mark Pröhl, dpunkt.verlag, 2012, ISBN 978-3864910951
- ↑ 2,0 2,1 2,2 Chapter 18 Using the Windows Desktop Single Sign-On Authentication Module (Sun OpenSSO Enterprise 8.0 Deployment Planning Guide)
- ↑ Integrated Authentication - Mozilla | MDN, Apr 17, 2017
- ↑ GitHub - netsight/netsight.windowsauthplugin: A Plone authentication plugin to do Single Sign On (SSO) in a Windows Active Directory environment.
- ↑ 28282 - Support for SPNEGO authentication (standard KRB5, not only Windows NTLM/AD) - chromium - Monorail
- ↑ Ping Identity - How to configure supported browsers for Kerberos and NTLM, 01/25/2018
- ↑ Using SPNEGO in Geronimo - Apache Geronimo v2.1 - Apache Software Foundation, Jun 01, 2010
- ↑ Looking at kerberos authentication in iOS7 | Toby's stuff, September 23, 2014
- ↑ IBM bringt Lotus Notes und Domino in Version 8.5.1 | heise online, 06.10.2009
- ↑ Lotus Notes/Domino 8.5.1 - Neue Features: Dipl.-Ing. Detlev Pöttgen - acocon GmbH (PDF)
- ↑ IBM Knowledge Center - Security - new features (Windows® single sign-on for Web clients)
- ↑ Single sign-on for HTTP requests using SPNEGO web authentication - IBM Documentation
- ↑ IBM Knowledge Center - Configuring Active Directory for use with SPNEGO
- ↑ gmane.comp.kde.devel.kfm - Negotiate authentication for HTTP, 7th July 2004
- ↑ Hadoop Security: Protecting Your Big Data Platform von Ben Spivey, Joey Echeverria, O'Reilly Media, Inc., 2015, ISBN 978-1491901342
- ↑ How to Configure Kerberos Authentication on NetScaler Release 10.0, 20 Sep 2017
- ↑ SAP-Bibliothek - Benutzerauthentifizierung und Single Sign-On
- ↑ RFC 1508 - Generic Security Service Application Program Interface
- ↑ RFC 2078 - Generic Security Service Application Program Interface, Version 2
- ↑ RFC 2478 - The Simple and Protected GSS-API Negotiation Mechanism
- ↑ RFC 4178 - The Simple and Protected Generic Security Service Application Program Interface (GSS-API) Negotiation Mechanism