Microsoft Negotiate

Microsoft Negotiate ist ein Sicherheitssupportanbieter (Security Support Provider , SSP), der als Anwendungsebene zwischen der Security Support Provider Interface (SSPI) und den anderen SSPs fungiert. Wenn eine App SSPI aufruft, um sich in einem Netzwerk anzumelden, kann sie einen SSP zum Verarbeiten der Anforderung angeben. Wenn die App Negotiate angibt, analysiert Negotiate die Anforderung und wählt den besten SSP für die Verarbeitung der Anforderung basierend auf der vom Kunden konfigurierten Sicherheitsrichtlinie aus.

Derzeit wird im Sicherheitspaket Aushandlung zwischen Kerberos und NTLM ausgewählt. Aushandeln wählt Kerberos aus, es sei denn, eine der folgenden Bedingungen gilt:

• Es kann nicht von einem der systeme verwendet werden, die an der Authentifizierung beteiligt sind.
• Die aufrufende App hat nicht genügend Informationen zur Verwendung von Kerberos bereitgestellt.

Damit Negotiate den Kerberos-Sicherheitsanbieter auswählen kann, muss die Client-App folgendes bereitstellen:

• Ein Dienstprinzipalname (Service Principal Name , SPN).
• Ein Benutzerprinzipalname (User Principal Name, UPN).
• Ein NetBIOS-Kontoname als Zielname.

Andernfalls wählt Negotiate immer den NTLM-Sicherheitsanbieter aus.

Ein Server, der das Negotiate-Paket verwendet, kann auf Client-Apps reagieren, die speziell den Kerberos- oder NTLM-Sicherheitsanbieter auswählen. Eine Client-App muss jedoch wissen, dass ein Server das Negotiate-Paket unterstützt, um die Authentifizierung mithilfe von Negotiate anzufordern. Ein Server, der Negotiate nicht unterstützt, kann nicht immer auf Anforderungen von Clients reagieren, die Negotiate als SSP angeben.

Gründe für die Verwendung des Verhandlungspakets

• Ermöglicht dem System die Verwendung des sichersten verfügbaren Protokolls.
• Stellt die Vorwärtskompatibilität für die App sicher.
• Stellt sicher, dass die App ein Verhalten aufweist, das der vom Kunden festgelegten Sicherheitsrichtlinie entspricht.