Поделиться через


Microsoft Negotiate

Microsoft Negotiate — это поставщик поддержки безопасности (SSP), который выступает в качестве уровня приложения между интерфейсом поставщика поддержки безопасности (SSPI) и другими SSP. Когда приложение вызывает SSPI для входа в сеть, оно может указать поставщика общих служб для обработки запроса. Если приложение указывает Negotiate, Negotiate анализирует запрос и выбирает лучший поставщик общих служб для обработки запроса на основе политики безопасности, настроенной клиентом.

В настоящее время пакет безопасности Negotiate выбирает между Kerberos и NTLM. Согласование выбирает Kerberos, если не применяется одно из следующих условий:

  • Его не может использовать ни одна из систем, участвующих в проверке подлинности.
  • Вызывающее приложение не предоставило достаточных сведений для использования Kerberos.

Чтобы разрешить Negotiate выбрать поставщика безопасности Kerberos , клиентское приложение должно предоставить одно из следующих условий:

  • Имя субъекта-службы( SPN).
  • Имя участника-пользователя (UPN).
  • Имя учетной записи NetBIOS в качестве целевого имени.

В противном случае Negotiate всегда выбирает поставщика безопасности NTLM .

Сервер, использующий пакет Negotiate, может реагировать на клиентские приложения, которые специально выбирают поставщика безопасности Kerberos или NTLM . Однако клиентское приложение должно знать, что сервер поддерживает пакет Negotiate для запроса проверки подлинности с помощью Negotiate. Сервер, который не поддерживает Negotiate, не всегда может отвечать на запросы клиентов, которые указывают Negotiate в качестве поставщика общих служб.

Причины использования пакета negotiate

  • Позволяет системе использовать наиболее безопасный доступный протокол.
  • Обеспечивает прямую совместимость для приложения.
  • Обеспечивает поведение приложения в соответствии с политикой безопасности, установленной клиентом.