Microsoft Negotiate
Microsoft Negotiate ist ein Sicherheitssupportanbieter (SSP), der als Anwendungsschicht zwischen Security Support Provider Interface (SSPI) und den anderen SSPs fungiert. Wenn eine App SSPI aufruft, um sich in einem Netzwerk anzumelden, kann sie einen SSP angeben, der die Anforderung verarbeitet. Wenn die App "Negotiate" angibt, analysiert Negotiate die Anforderung und wählt den besten SSP aus, um die Anforderung basierend auf der vom Kunden konfigurierten Sicherheitsrichtlinie zu verarbeiten.
Derzeit wählt das Aushandlungssicherheitspaket zwischen Kerberos- und NTLM-aus. Aushandeln von Kerberos, es sei denn, eine der folgenden Bedingungen gilt:
- Sie kann nicht von einem der Systeme verwendet werden, die an der Authentifizierung beteiligt sind.
- Die aufrufende App hat keine ausreichenden Informationen zur Verwendung von Kerberos bereitgestellt.
Damit "Aushandeln" den Kerberos- Sicherheitsanbieter auswählen kann, muss die Client-App eine der folgenden Optionen bereitstellen:
- Ein Dienstprinzipalname (SPN).
- Ein Benutzerprinzipalname (UPN).
- Ein NetBIOS-Kontoname als Zielname.
Andernfalls wählt "Aushandeln" immer den NTLM- Sicherheitsanbieter aus.
Ein Server, der das Negotiate-Paket verwendet, kann auf Client-Apps reagieren, die speziell den Kerberos- oder NTLM--Sicherheitsanbieter auswählen. Eine Client-App muss jedoch wissen, dass ein Server das Negotiate-Paket unterstützt, um die Authentifizierung mithilfe von Negotiate anzufordern. Ein Server, der "Negotiate" nicht unterstützt, kann nicht immer auf Anforderungen von Clients reagieren, die "Negotiate" als SSP angeben.
Gründe für die Verwendung des Aushandlungspakets
- Ermöglicht es dem System, das sicherste verfügbare Protokoll zu verwenden.
- Stellt die Vorwärtskompatibilität für die App sicher.
- Stellt sicher, dass die App ein Verhalten aufweist, das den vom Kunden festgelegten Sicherheitsrichtlinien entspricht.