스니고

SPNEGO

Simple and Protected GSSAPI Negotiation Mechanism(SPNEGO; 단순 보호 GSSAPI 네고시에이션메커니즘)은 종종 "spenay-go"로 발음되며 클라이언트 서버 소프트웨어가 보안 테크놀로지의 선택을 협상하기 위해 사용하는 GSSAPI "의사 메커니즘"입니다.SPNEGO는 클라이언트애플리케이션이 리모트서버에 대해서 인증을 필요로 하는 경우에 사용됩니다만, 어느 쪽도 상대방이 어떤 인증 프로토콜을 서포트하고 있는지 알 수 없습니다.의사 메커니즘은 프로토콜을 사용하여 사용할 수 있는 일반적인 GSSAPI 메커니즘을 결정하고 이를 선택한 다음 모든 추가 보안 작업을 디스패치합니다.이를 통해 조직은 새로운 보안 메커니즘을 단계적으로 도입할 수 있습니다.

SPNEGO의 가장 눈에 띄는 용도는 Microsoft의 "HTTP Negotiate" 인증 확장입니다.Internet Explorer 5.01 및 IIS 5.0에서 처음 구현되었으며 이후 통합 윈도우즈 인증으로 출시되는 싱글 사인온 기능을 제공했습니다.네고시에이트 가능한 서브메커니즘에는 모두 Active Directory에서 사용되는 NTLM과 Kerberos가 포함되어 있습니다.HTTP Negotiate 확장 기능은 나중에 다음과 같은 방법으로 구현되었습니다.

역사

  • 1996년 2월 19일 - Eric Baise와 Denis Pinkas는 Internet Draft Simple GSS-API Negotiation Mechanism(draft-ietf-cat-snego-01.txt)을 발행합니다.
  • 1996년 10월 17일 – 이 메커니즘에는 개체 식별자 1.3.6.1.5.5.2가 할당되어 있으며 snego로 약칭됩니다.
  • 1997년 3월 25일 – 한 메커니즘의 초기 토큰에 대한 낙관적인 피기백이 추가되었습니다.이렇게 하면 왕복이 절약됩니다.
  • 1997년 4월 22일 – "우선" 메커니즘 개념이 도입되었습니다.초안 표준의 명칭이 단순에서 단순 및 보호(spnego)로 변경되었습니다.
  • 1997년 5월 16일 - 컨텍스트플래그가 추가되었습니다(위임, 상호인증 등).새로운 "우선" 메커니즘에 대한 공격에 대한 방어 기능이 제공됩니다.
  • 1997년 7월 22일 – 컨텍스트플래그가 추가되었습니다(정합성기밀성).
  • 1998년 11월 18일 – 공통 메커니즘을 선택하는 규칙은 완화된다.메커니즘 프리퍼런스는 메커니즘 목록에 통합됩니다.
  • 1998년 3월 4일 – 홀수 거래소에 대한 최적화가 이루어집니다.메커니즘 목록 자체는 옵션입니다.
  • 1998년 12월(최종)– MIC 계산 방법을 명확히 하기 위해 DER 인코딩을 선택합니다.초안은 RFC 2478로 표준화를 위해 제출되었다.
  • 2005년 10월– Microsoft 구현과의 상호 운용성에 대해 설명합니다.일부 제약조건은 개선 및 명확화되며 결함이 수정됩니다.RFC 4178로 발행되고 있습니다만, 현재는 폐지된 RFC 2478의 엄밀한 실장과는 상호 운용할 수 없습니다.

메모들

  1. ^ Mozilla bug 17578: Kerberos 인증과 TGT 전송을 원합니다.
  2. ^ "Konqueror has SPNEGO support". Apache and Kerberos tutorial. Archived from the original on 19 April 2005. Retrieved 30 May 2005.
  3. ^ "Support for SPNEGO authentication". Google Chrome Enhancement Request. Archived from the original on 11 November 2012. Retrieved 20 November 2010.

레퍼런스

외부 링크

  • RFC 4178 심플하고 보호된 GSS-API 네고시에이션메커니즘(RFC 2478을 폐지).
  • Microsoft Windows에서의 RFC 4559 SPNEGO 기반 KerberosNTLM HTTP 인증