Microsoft ネゴシエート

Microsoft Negotiate は、 セキュリティ サポート プロバイダー インターフェイス (SSPI) と他の SSP の間のアプリケーション 層として機能する セキュリティ サポート プロバイダー (SSP) です。 アプリケーションは、SSPI を呼び出してネットワークにログオンするときに、要求を処理する SSP を指定できます。 アプリケーションでネゴシエートが指定されている場合、Negotiate は要求を分析し、顧客が構成したセキュリティ ポリシーに基づいて要求を処理するための最適な SSP を選択します。

現在、ネゴシエート セキュリティ パッケージでは 、KerberosNTLM の間で選択されます。 ネゴシエートでは、認証に関連するシステムの 1 つで Kerberos を使用できない場合、または呼び出し元アプリケーションが Kerberos を使用するのに十分な情報を提供しなかった場合を除き、Kerberos が選択されます。

ネゴシエートで Kerberos セキュリティ プロバイダーを選択できるようにするには、クライアント アプリケーションで サービス プリンシパル名 (SPN)、ユーザー プリンシパル名 (UPN)、または NetBIOS アカウント名をターゲット名として指定する必要があります。 それ以外の場合、ネゴシエートでは常に NTLM セキュリティ プロバイダーが選択されます。

ネゴシエート パッケージを使用するサーバーは、 Kerberos または NTLM セキュリティ プロバイダーを選択したクライアント アプリケーションに応答できます。 ただし、クライアント アプリケーションは、ネゴシエートを使用して認証を要求するために、サーバーが Negotiate パッケージをサポートしていることを認識する必要があります。 ネゴシエートをサポートしていないサーバーは、ネゴシエートを SSP として指定するクライアントからの要求に常に応答できるわけではありません。

ネゴシエート パッケージを使用する理由

  • システムで使用可能な最も強力な (最も安全な) プロトコルを使用できるようにします。
  • アプリケーションの前方互換性を確保します。
  • アプリケーションが、顧客によって設定されたセキュリティ ポリシーに従った動作を示していることを確認します。