1.3. 其他组件

简单且受保护的 GSSAPI 协商机制 (SPNEGO)提供了一种机制，可用于扩展基于 Kerberos 的单点登录环境，供 Web 应用程序使用。

SPNEGO 是客户端应用用于向服务器验证自身的身份验证方法。当客户端应用和服务器尝试互相通信时，可使用这一技术，但是都不确定彼此支持的身份验证协议。SPNEGO 确定客户端应用程序和服务器之间的通用 GSSAPI 机制，然后为其分配其他所有安全操作。

当客户端计算机上的应用（如 Web 浏览器）尝试访问 Web 服务器上的受保护页面时，服务器需要响应该授权。然后，应用程序从 Kerberos KDC 请求服务票据。获取票据后，应用程序将其以格式化为 SPNEGO 的请求打包，并通过浏览器将其发回到 Web 应用。运行部署的 Web 应用的 Web 容器解压缩请求并尝试对票据进行身份验证。身份验证成功后，将授予访问权限。

SPNEGO 与所有类型的 Kerberos 提供商合作，包括红帽企业 Linux 中包含的 Kerberos 服务和 Kerberos 服务器（它们是 Microsoft Active Directory 不可或缺的组成部分）。