Microsoft Negotiate
Microsoft Negotiate est un fournisseur de support de sécurité (SSP) qui joue le rôle de couche application entre l’interface SSPI (Security Support Provider Interface) et les autres fournisseurs de services de sécurité. Lorsqu’une application appelle SSPI pour se connecter à un réseau, elle peut spécifier un fournisseur de services partagés pour traiter la demande. Si l’application spécifie Negotiate, Negotiate analyse la demande et sélectionne le meilleur fournisseur de services partagés pour gérer la demande en fonction de la stratégie de sécurité configurée par le client.
Actuellement, le package de sécurité Negotiate sélectionne entre Kerberos et NTLM. Negotiate sélectionne Kerberos, sauf si l’une des conditions suivantes s’applique :
- Il ne peut pas être utilisé par l’un des systèmes impliqués dans l’authentification.
- L’application appelante n’a pas fourni suffisamment d’informations pour utiliser Kerberos.
Pour autoriser Negotiate à sélectionner le fournisseur de sécurité Kerberos , l’application cliente doit fournir l’une des informations suivantes :
- Un nom de principal de service (SPN).
- Un nom d’utilisateur principal (UPN).
- Un nom de compte NetBIOS comme nom cible.
Sinon, Negotiate sélectionne toujours le fournisseur de sécurité NTLM .
Un serveur qui utilise le package Negotiate peut répondre aux applications clientes qui sélectionnent spécifiquement le fournisseur de sécurité Kerberos ou NTLM . Toutefois, une application cliente doit savoir qu’un serveur prend en charge le package Negotiate pour demander l’authentification à l’aide de Negotiate. Un serveur qui ne prend pas en charge Negotiate ne peut pas toujours répondre aux demandes des clients qui spécifient Negotiate comme fournisseur de services partagés.
Raisons d’utiliser le package Negotiate
- Permet au système d’utiliser le protocole disponible le plus sécurisé.
- Garantit la compatibilité ascendante de l’application.
- Garantit que l’application présente un comportement conforme à la stratégie de sécurité définie par le client.