home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1993 July / InfoMagic USENET CD-ROM July 1993.ISO / answers / kerberos-faq / user next >
Encoding:
Text File  |  1993-07-01  |  28.1 KB  |  627 lines
  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!pad-thai.aktis.com!suan-la-chow-show.aktis.com!not-for-mail
  2. From: bjaspan@GZA.COM (Barry Jaspan)
  3. Newsgroups: comp.protocols.kerberos,news.answers
  4. Subject: Kerberos Users' Frequently Asked Questions 1.5
  5. Supersedes: <kerberos-faq/user_734982948@GZA.COM>
  6. Followup-To: poster
  7. Date: 1 Jul 1993 12:13:12 -0400
  8. Organization: Geer Zolot Associates
  9. Lines: 608
  10. Approved: news-answers-request@mit.edu
  11. Expires: 29 Jul 1993 16:13:11 GMT
  12. Message-ID: <kerberos-faq/user_741543191@GZA.COM>
  13. NNTP-Posting-Host: suan-la-chow-show.aktis.com
  14. Summary: This document answers Frequently Asked Questions about the
  15.     Kerberos authentication system.  Read this before you post a
  16.     question to comp.protocols.kerberos or kerberos@athena.mit.edu.
  17. Xref: senator-bedfellow.mit.edu comp.protocols.kerberos:2173 news.answers:9901
  18.  
  19. Archive-name: kerberos-faq/user
  20. Version: 1.5
  21.  
  22. Kerberos Users' Frequently Asked Questions
  23. July 1, 1993
  24. Compiled by: Barry Jaspan, <bjaspan@gza.com>
  25.              Geer Zolot Associates
  26.  
  27.      Kerberos; also spelled Cerberus.  n.  The watch dog of
  28.      Hades, whose duty it was to guard the entrance--against
  29.      whom or what does not clearly appear; . . . it is known
  30.      to have had three heads. . .
  31.  
  32.         -Ambrose Bierce, The Enlarged Devil's Dictionary
  33.  
  34. This document answers Frequently Asked Questions about the Kerberos
  35. authentication system.  It is freely distributable.  Direct all
  36. responses and questions to bjaspan@gza.com.  Most of the information
  37. presented here has been collected from postings to the
  38. comp.protocols.kerberos newsgroup (gatewayed to the mailing list
  39. kerberos@athena.mit.edu).
  40.  
  41. DISCLAIMER: Geer Zolot Associates makes no representations about the
  42. suitability of this information for any purpose.  It is provided "as
  43. is" without express or implied warranty.  In particular, this document
  44. is not intended as legal advice for exporting Kerberos, DES, or any
  45. other encryption software.
  46.  
  47. Release Notes: This release contains a more thorough introduction to
  48. Kerberos (1.1), new information about Kerberos TELNET and FTP (2.5),
  49. and additional vendor-supported Kerberos ports information (2.7).
  50.  
  51. Questions addressed in this release:
  52.     (a * indicates that no answer is currently available)
  53.  
  54. 1.  Kerberos and its Many Incarnations
  55. ----------------------------------------------------------------------
  56.  
  57. (1.1)    What is Kerberos?  What is it good for?
  58. (1.2)    Where can I get Kerberos version 4 or 5?
  59. (1.3)    What is the current status of version 4?
  60. (1.4)    What is the current status of version 5?
  61. (1.5)    Are version 4 and version 5 compatible?
  62. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  63.     Can they interoperate?
  64. (1.7)*    How/why is OSF DCE Security different from MIT Kerberos V5?
  65.     Can they interoperate?
  66. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  67.     Can they interoperate?
  68. (1.9)    What is Bones?  What is it for?
  69.  
  70. 2.  Using and Administering Kerberos
  71. ----------------------------------------------------------------------
  72.  
  73. (2.1)    Can I use Kerberos for local password validation?
  74. (2.2)    What is the export status of Kerberos?
  75. (2.3)    How can I delete a principal from the database?
  76. (2.4)    What are the officially assigned Kerberos port numbers?
  77. (2.5)    Are there Kerberos versions of telnet and ftpd?
  78.     What other Kerberos clients exist?
  79. (2.6)    Why does rlogin print "Warning: No Kerberos tickets obtained"?
  80. (2.7)    What operating systems has Kerberos been ported to?
  81.     What vendors provide commercial support for Kerberos?
  82.  
  83. 3.  Building and Installing Kerberos
  84. ----------------------------------------------------------------------
  85.  
  86. (3.1)    Why do I get an error message from ld when make_commands is
  87.     executed?
  88. (3.2)    Why doesn't KRB5_defs.h exist when I build version 5?
  89.  
  90. 4.  Miscellaneous
  91. ----------------------------------------------------------------------
  92.  
  93. (4.1)    List references for Kerberos and network security in general.
  94. (4.2)    Where are archives of comp.protocols.kerberos (a.k.a 
  95.     kerberos@athena.mit.edu)?
  96.  
  97. ======================================================================
  98.  
  99. 1.  Kerberos and its Many Incarnations
  100. ----------------------------------------------------------------------
  101.  
  102. (1.1)    What is Kerberos?  What is it good for?
  103.  
  104. Kerberos is a network authentication system for use on physically
  105. insecure networks, based on the key distribution model presented by
  106. Needham and Schroeder.[3] It allows entities communicating over
  107. networks to prove their identity to each other while preventing
  108. eavsdropping or replay attacks.  It also provides for data stream
  109. integrity (detection of modification) and secrecy (preventing
  110. unauthorized reading) using cryptography systems such as DES.
  111.  
  112. Kerberos works by providing principals (users or services) with
  113. /tickets/ that they can use to identify themselves to other principals
  114. and secret cryptographic keys for secure communication with other
  115. principals.[1] A ticket is a sequence of a few hundred bytes.  These
  116. ticket can then be embedded in virtually any other network protocol,
  117. thereby allowing the processes implementing that protocol to be sure
  118. about the identity of the principals involved.
  119.  
  120. Practically speaking, Kerberos is mostly used in application-level
  121. protocols (ISO model level 7), such as TELNET or FTP, to provide user
  122. to host security.  It is also used, though less frequently, as the
  123. implicit authentication system of data stream (such as SOCK_STREAM) or
  124. RCP mechanisms (ISO model level 6).  It could also be used at a lower
  125. level for host to host security, in protocols like IP, UDP, or TCP
  126. (ISO model levels 3 and 4), although such implementations are
  127. currently rare, if they exist at all.
  128.  
  129. It is important to realize that Kerberos is a one-trick pony.  It
  130. provides for mutual authentication and secure communication between
  131. principals on an open network by manufacturing secret keys for any
  132. requestor and providing a mechanism for these secret keys to be safely
  133. propaged through the network.  Kerberos does not, per se, provide for
  134. authorization or accounting, although applications that wish to can
  135. use their secret keys to perform those functions securely.  Kerberos
  136. also does not provide password validation for individual workstations
  137. unless care is taken; see question 2.1.
  138.  
  139. It is also important to understand the using Kerberos on time-sharing
  140. machines greatly weakens its protections, since a user's tickets
  141. are then only as secure as the 'root' account (read: not very).
  142. Furthermore, dumb terminals and most X terminals do not understand the
  143. Kerberos protocol and as a result their cable connections remain
  144. insecure.
  145.  
  146. (1.2)    Where can I get Kerberos version 4 or 5?
  147.  
  148. In the United States and Canada (*), Kerberos is available via
  149. anonymous FTP from athena-dist.mit.edu (18.71.0.38).  For specific
  150. instructions, cd to pub/kerberos and get the file README.KRB4 (for
  151. version 4) or README.KRB5_BETA2 (for version 5).  Note that *YOU WILL
  152. NOT BE ABLE TO RETRIEVE KERBEROS WITHOUT READING THIS FILE*.
  153.  
  154. Outside the United States, you can get Bones via anonymous ftp from
  155. ftp.funet.fi (128.214.6.100) in pub/unix/security/kerberos.  A DES
  156. library is available from the same place.  See question 1.9 for
  157. information on Bones.
  158.  
  159. (*) Kerberos and DES can be exported to Canada.  See question 2.2.
  160.  
  161. (1.3)    What is the current status of version 4?
  162.  
  163. With the release of patch level 10 on December 10, 1992, MIT Kerberos
  164. 4 is now in its final form.  MIT does not anticipate ever making a new
  165. Kerberos 4 release.
  166.  
  167. Several vendors provide their own versions of Kerberos which may
  168. contain improvements or extensions; see question 2.7.
  169.  
  170. (1.4)    What is the current status of version 5?
  171.  
  172. A new beta release of MIT Kerberos V5 is available as of September 30,
  173. 1992; see question 1.2.  This release brings MIT's implementation into
  174. full compliance with the current protocol.  It is not backwards
  175. compatible with the previous beta release; according to MIT, this is
  176. the last release that will contain non-backwards compatible changes.
  177.  
  178. (1.5)    Are version 4 and version 5 compatible?
  179.  
  180. No.  Versions 4 and 5 are based on completely different protocols.
  181. The MIT Kerberos V5 distribution contains some compatibility code,
  182. however: (a) there is a library which converts Kerberos V4 library
  183. calls into Kerberos V5 requests, so you can run many V4 programs in a
  184. V5 environment by relinking; (b) the Kerberos server can optionally
  185. service V4 requests; (c) there is a program to convert a V4 format
  186. Kerberos database to a V5 format database.  The names used by the V5
  187. library have a prefix "krb5_" so they do not conflict with the V4
  188. library.
  189.  
  190. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  191.     Can they interoperate?
  192.  
  193. This is a fairly complex question, and this answer is known to be
  194. incomplete.  The issue is regularly discussed on the
  195. info-afs-kerberos@transarc.com mailing list; send mail to the -request
  196. list for subscriptions.
  197.  
  198. Years ago, the designers of AFS decided to implement their own
  199. security system based on the Kerberos specification instead of using
  200. the (then, not yet publicly available) MIT Kerberos V4.  As a result,
  201. Transarc's AFS Kerberos speaks a different protocol but also
  202. understands the MIT Kerberos V4 protocol.  They can, in principal,
  203. talk to each other; however, there are a sufficient number of annoying
  204. details and an insufficient number of advantages such that it may not
  205. be practical.
  206.  
  207. The two versions use a different string-to-key function (the algorithm
  208. that turns a password into a DES key); the AFS version uses the realm
  209. name as part of the computation while the MIT version does not.  A
  210. program that uses a password to acquire a ticket (e.g.  kinit or
  211. login) will only work with one version, unless it is hacked up to try
  212. both string-to-key algorithms.
  213.  
  214. The two versions also use a different method of finding Kerberos
  215. servers.  MIT Kerberos uses krb.conf and krb.realms to map hostnames
  216. to realms and realms to Kerberos servers.  AFS kaservers for a realm,
  217. by definition, are located on the AFS database servers and can
  218. therefore be located using /usr/vice/etc/CellServDB.  This means that
  219. a program built using the MIT Kerberos libraries will look in one
  220. place for the information while a program built using the AFS Kerberos
  221. libraries will look in another.  You can certainly set up all three
  222. files and use both libraries, but be sure that everything is
  223. consistent.
  224.  
  225. The two versions have a different password changing protocol, so you
  226. must use the correct 'kpasswd' program for the server you are talking
  227. to.  In general, AFS clients that talk directly to the kaserver use an
  228. Rx-based protocol, instead of UDP as with MIT Kerberos, so those AFS
  229. clients cannot talk to an MIT server.
  230.  
  231. In summary, AFS Kerberos and MIT Kerberos can interoperate once you've
  232. acquired a ticket granting ticket, which you can do with kinit (MIT)
  233. or klog (AFS).  With a tgt, Kerberos applications such as rlogin can
  234. talk to an MIT or AFS Kerberos server and achieve correct results.
  235. However, it is probably best to pick one implementation and use it
  236. exclusively
  237.  
  238. (1.7)*    How/why is OSF DCE Security different from MIT Kerberos V5?
  239.     Can they interoperate?
  240.  
  241. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  242.     Can they interoperate?
  243.  
  244. DEC ULTRIX contains Kerberos for a single reason, namely, to provide
  245. authenticated name service for the ULTRIX enhanced security option.
  246. It does not support user-level authentication in the normal manner.
  247.  
  248. DEC's version is essentially the same as (and derived from) MIT
  249. Kerberos V4 with a few changes.  The most significant change is that
  250. the ability to perform any kind of end-to-end user data encryption has
  251. been eliminated in order to comply with export restrictions.  Minor
  252. changes include the placement of ticket files (/var/dss/kerberos/tkt
  253. vs. /tmp) and the principal names used by some standard Kerberos
  254. services (e.g.: kprop vs. rcmd); there are probably other minor
  255. changes as well.
  256.  
  257. These changes make it annoying but not impossible to use DEC ULTRIX
  258. Kerberos in the normal way.  However, there is no reason at all to do
  259. so, because the MIT distribution supports ULTRIX directly.  [This may
  260. not be completely true.  I imagine that using ULTRIX Kerberos for
  261. enhanced security and MIT's Kerberos at the same time would cause
  262. problems.  Has anyone tried this?]
  263.  
  264. (1.9)    What is Bones?  What is it for?
  265.  
  266. Bones is a system that provides the Kerberos API without using
  267. encryption and without providing any form of security whatsoever.  It
  268. is a fake that allows the use of software that expects Kerberos to be
  269. present when it cannot be.
  270.  
  271. Why does it exist?  Kerberos is a network security system which relies
  272. on cryptographic methods for its security.  Since Kerberos' encryption
  273. system, DES, is not exportable, Kerberos itself cannot be exported or
  274. used outside of the United States in its original form.  (See question
  275. 2.2 for more information.)
  276.  
  277. As a partial solution to this problem, the Kerberos source code was
  278. modified by the addition of #ifdef NOENCRYPTION around all calls to
  279. DES functions.  Compiling this version with the symbol NOENCRYPTION
  280. defined results in a system that looks like Kerberos from an
  281. application's point of view but that does not require DES libraries
  282. (and, as a result, does not speak the real Kerberos protocol and does
  283. not provide any security).
  284.  
  285. The final piece in this puzzle is a program called "piranha" which
  286. takes the Kerberos sources and removes all of the calls to the
  287. encryption routines, replacing it with the code which was under #ifdef
  288. NOENCRYPTION, producing the system known as Bones.  Bones has the
  289. property that there is absolutely no question about whether or not it
  290. is legal to transport its sources across national boundaries, since it
  291. neither has any encryption routines nor any calls to encryption
  292. routines.
  293.  
  294. #ifdef NOENCRYPTION was not documented, and it was only intended to be
  295. used in the above manner.  Someone who tries compiling Kerberos with
  296. that #define has in some sense "voided the warranty", and will get
  297. something which is both (a) not secure and (b) not Kerberos.
  298.  
  299. 2.  Using and Administering Kerberos
  300. ----------------------------------------------------------------------
  301.  
  302. (2.1)    Can I use Kerberos for local password validation?
  303.  
  304. Yes, but only under certain circumstances and only if you are
  305. careful.
  306.  
  307. Requests for Kerberos ticket granting tickets (tgts) (e.g. from kinit
  308. or login) are sent in plaintext to the Kerberos server, which then
  309. responds with credentials encrypted in the requesting principal's
  310. secret key.  The program then attempts to decrypt the data with the
  311. supplied password and considers the authentication "successful" if the
  312. decryption appears to yield meaningful results (such as the correct
  313. principal name).
  314.  
  315. The problem here is that the requesting program cannot know for sure
  316. whether the decryption succeeded or, more importantly, whether the
  317. response actually came from the Kerberos server.  An attacker could,
  318. for example, walk up to an unattended machine and "log in" as a
  319. non-existent user.  Kerberos will eventually respond with an
  320. appropriate error, but the attacker can arrange for another program to
  321. deliver a fake response to login first; he then types the correct
  322. password (which he knows because he created the fake response in the
  323. first place) and succeeds in spoofing login.
  324.  
  325. The solution to this problem is for login to verify the tgt by using
  326. it to acquire a service ticket with a known key and comparing the
  327. results.  Typically, this means requesting an rcmd.<hostname> ticket,
  328. where <hostname> is the local hostname, and checking the response
  329. against the key stored in the machine's /etc/srvtab file.  If the keys
  330. match then the original tgt must have come from Kerberos (since the
  331. key only exists in the srvtab and the Kerberos database), and login
  332. can allow the user to log in.
  333.  
  334. The solution works only so long as the host has a srvtab containing an
  335. rcmd.<hostname> (or any other standard principal) entry.  This is fine
  336. for physically secure or single-user workstations, but does not work
  337. on public workstations in which anyone could access the srvtab file.
  338.  
  339. (2.2)    What is the export status of Kerberos?
  340.  
  341. In general, the COCOM treaty, signed by twenty or so countries
  342. including the United States, says that all cryptographic material will
  343. be treated as munitions.  This means that these countries treat
  344. exporting DES the same way they would treat exporting weapons, fighter
  345. planes, and other nasty stuff.  You cannot export such materials to
  346. any other country (except Canada**) without an export license.
  347.  
  348. However, it *is* possible to get an export license for Kerberos (DEC
  349. apparently has one for ULTRIX) provided it is hacked up in the correct
  350. way.  The correct way appears to include making it impossible to
  351. perform encryption on arbitrary user data; authentication is okay, but
  352. secrecy is not.  Since the Kerberos API provides this functionality,
  353. it must be carefully removed before an export license will be granted.
  354.  
  355. Of course, I am not a lawyer; this information is merely a collection
  356. of what others (who are also not lawyers) have said and should not be
  357. interpreted as legal advice.  If anyone out there has firm legal
  358. advice, feel free to contribute it.
  359.  
  360. **Canada has been granted a general exemption to DES export
  361. restrictions; the exemption is detailed in Title #22, Code of Federal
  362. Regulations, "International Traffic in Arms Rgulations," Section 126.5.
  363. You can export DES to Canada providing that it is not re-exported to
  364. another country and that the above regulation is referenced.  This
  365. information has been confirmed with Mr. Alan Sushinsky, Munitions
  366. Control, The State Department, (703) 875-6621.
  367.  
  368. (2.3)    How can I delete a principal from the database?
  369.  
  370. MIT Kerberos V4 does not include a single command to delete a Kerberos
  371. principal.  This was an intentional omission based on the assumption
  372. that by making deletion difficult, accidents were less likely to
  373. happen.  If you want to delete a principal, do "kdb_util dump", edit
  374. the ASCII dump with an editor, and do a "kdb_util load".  Obviously,
  375. you can write a shell script to make this more convenient.
  376.  
  377. The admin tools for AFS Kerberos, MIT Kerberos V5, and the DCE
  378. Kerberos have a simple delete request.
  379.  
  380. (2.4)    What are the officially assigned Kerberos port numbers?
  381.  
  382. The file src/prototypes/services.append in the MIT Kerberos
  383. distribution contains the commonly used port assignments.  This file
  384. is not the whole story, however.
  385.  
  386. "kerberos" has officially been moved to port 88, although people will
  387. have to listen on port 750 for some time to come, and assume
  388. that many servers won't be converted to listen to port 88 for some
  389. time.
  390.  
  391. "kerberos_master" and "krb_prop" have not been reserved, but they are
  392. only used for intra-site transactions so having them reserved probably
  393. isn't necessary.  Furthermore, both of their port numbers have already
  394. been assigned to other services, so requesting an official assignment
  395. will force them to change.
  396.  
  397. "eklogin", "kpop", and "erlogin" have not been officially reserved,
  398. but probably should be.  Their ports are not currently assigned to
  399. other services, so hopefully they will not have to change if an
  400. official assignment is requested.
  401.  
  402. (2.5)    Are there Kerberos versions of telnet and ftpd?
  403.  
  404. (a) TELNET.  An experimental Telnet Authentication Option has been
  405. defined, and is described in RFC1416.  A separate document, RFC1411,
  406. describes how that option is to be used with Kerberos V4, but no RFC
  407. exists for its use with Kerberos V5.  These RFC's only define how
  408. /authentication/ is to be performed; the standard for full encryption
  409. is still under development.
  410.  
  411. An implementation of Kerberos V4 telnet is available via anonymous ftp
  412. from ftp.uu.net, in /networking/telnet.91.03.25.tar.Z, but it predates
  413. both of the above-mentioned RFCs and is therefore almost certainly not
  414. compliant with them.  A Kerberos V5 telnet implementation, based on
  415. the 4.4BSD telnet/telnetd, also exists but has been temporarily
  416. removed from the MIT V5 beta 2 release (probably because it also does
  417. not comply with the proposed standards).
  418.  
  419. (b) FTP.  The IETF Common Authentication Technology Working Group is
  420. currently defining security extensions for the FTP protocol.  An
  421. Internet Draft describing their work, and the source code for a
  422. modified ftp/ftpd with the extensions, are now available via anonymous
  423. FTP:
  424.  
  425.     thumper.bellcore.com:pub/lunt/ftp.tar.Z
  426.     net-dist.mit.edu:tytso/ftp-wg/ftp.tar.Z
  427.  
  428. Please note that the extensions are still in the Draft stage and may
  429. change at any time, in incompatible ways.
  430.  
  431. (2.6)    Why does rlogin print "Warning: No Kerberos tickets obtained"?
  432.  
  433. Kerberos rlogin uses a standard Kerberos exchange to prove the
  434. identity of the user to the remote host, after which it uses the
  435. /etc/passwd and a .klogin file to determine whether the user is
  436. authorized to log in.
  437.  
  438. Since the user never types a password, klogind on the remote host
  439. cannot obtain a new ticket granting ticket.  The user's existing tgt
  440. cannot be used on the remote host, because MIT Kerberos V4 tickets are
  441. host-specific.  Therefore, even though the user has logged in to the
  442. remote host, there is no ticket granting ticket for the user available
  443. on the remote host.  The warning message is merely a reminder of this
  444. fact.
  445.  
  446. The most recent release of MIT Kerberos V4 (patchlevel 10) contains a
  447. system called "rkinit" that allows a user to obtain a ticket granting
  448. ticket on a remote machine.  Using this system, it is possible first
  449. to obtain a tgt on a machine and then log into it with Kerberos
  450. rlogin, thereby achieving a secure remote login with tickets.
  451. Alternatively, you use Kerberos V5, which has forwardable tickets.
  452.  
  453. (2.7)    What operating systems has Kerberos been ported to?
  454.     What vendors provide commercial support for Kerberos?
  455.  
  456. Note: This was written by Greg Edwards, edwardsg@iscnvx.is.lmsc.lockheed.com.
  457.  
  458. The following is a list on Kerberos Ports that I know of as of 23 
  459. October 1992. If you have additional information please send it to me. 
  460. This listing is of announced ports, not ports that I have tested. In 
  461. addition, it does not mention any problems that I may be aware of or 
  462. heard rumors of in certain ports. Most vendors are trying to make their 
  463. Kerberos ports more complete and remove problems all the time, so this 
  464. chart will need updating soon.
  465.  
  466. Kerberos Ports Key (inside matrix)
  467. 4     K4 port done
  468. 5     Kerberos v5 port done 
  469. D     DCE version of Kerberos done
  470. d     DCE version of Kerberos being ported or planned
  471. p     porting version 4 at this time
  472. P     porting Kerberos v5
  473. h    planned port of v4
  474. H    planned port of v5
  475. t    Kerberos v4 being tested
  476. T    Kerberos v5 being tested
  477. A    Athena (of which Kerberos 4 is a part)
  478. -    no product known
  479.  
  480. Porting Companies (y-axis)
  481. c     Cygnus Support      Steve Wilson 415/433-3811 swilson@cygnus.com
  482.                 network-security@cygnus.com
  483. d       DEC (DECathena?)        John O'Hara 508/486-7402 
  484.                     johara@athena.lkg.dec.com
  485. e    Essex                Vince Stasio 508/532-5511
  486. f     FTP Software            Kristine Kilduff 617/246-0900 kpk@ftp.com
  487. g    Geer Zolot Associates    Barry Jaspan 617/374-3700 
  488.                 info-kerberos@gza.com
  489. i    IBM
  490. m    MIT release
  491. o    Open Computing Security Group    Dan Webb 206/883-8721 dwebb@ocsg.com
  492.                 or Bob Gassen 206/883-8721 bobg@ocsg.com
  493. p    Project Pilgrim        Art Gaylord 413/545-2420 art@cs.umass.edu
  494. r    Cisco Routers & Bridges
  495. t    TGV                    S. Vance 800/tgv-3440 vance@tgv.com
  496. .    Telebit 408/734-4333
  497. w    Wollongong         Denise Earhart 415/962-7211
  498. x    Xyplex (terminal server) Rich Fitzgerald 714/725-9489
  499. z    Product for one OEM/self
  500.  
  501. Notes: Cray Kerberos supplied as part of UNICOS 7.0, DCE version later
  502.         DECs Ultrix Kerberos does not authenticate users, only servers
  503.         DECAthena does authenticate users
  504.  
  505. Rumored ports by:
  506.     Emulex    714/662-5600
  507.       Gradient Technologies
  508.     HP
  509.       Transarc for AFS (Andrew File System) & makes DEC developers kits
  510.  
  511.  
  512. Kerberos Ports        23 Oct 1992
  513.  
  514. who        c  d  e  f  g  i  m  o   p  r  t  w  z  other
  515. Amdahl        -  -  -  -  -  -  -  -   -  -  -  -  4  -
  516. AIX 3.2    4      -  A  -  -  H  d  4  tT  -  -  -  -  P  -
  517. Cisco        -  -  -  -  -  -  -  -   -  -  -  -  p  -
  518. Convex        -  -  -  -  -  -  -  -   -  -  -  -  -  4  
  519.                             LMSC partial port of K4
  520. Cray        -  -  -  -  -  -  -  -   -  -  -  -  4d 4
  521.                             LLNL partial port of K4
  522. HP        -  A  -  -  H  -  -  hT  -  -  -  -  -  d
  523. Intel Sv.4    -  -  -  -  H  -  4  H   -  -  -  -  -  d
  524. Irix 4.0.3    4  -  -  -  -  -  -  -   -  -  -  -  -  p
  525. Mac 6.x        p  -  -  -  -  -  4  4H  -  -  -  -  -  -
  526. Mac 7.x        p  -  -  -  -  -  4  4H  -  -  -  -  -  -
  527. MsDos        -  -  4  4  -  -  4  4H  -  -  -  -  -  -
  528. MVS        -  -  -  -  -  4  -  pP  -  -  -  -  4d -
  529. NCR        -  -  -  -  -  -  -  pH  -  -  -  -  -  -
  530. NCSATelnetPC    -  -  -  -  -  -  -  t   -  -  -  -  -  -
  531. NCSATelnetMac    -  -  -  -  -  -  -  t   -  -  -  -  -  -
  532. NeXT        -  -  -  -  5  -  4  4H  -  -  -  -  -  -
  533. who        c  d  e  f  g  i  m  o   p  r  t  w  z  other
  534. Novell        -  -  -  -  -  -  -  H   -  -  -  -  d  -
  535. OS/2        -  -  4  -  H  4d -  -   -  -  -  -  4  -
  536. Pyramid        -  -  -  -  H  -  -  H   -  -  -  -  p  -
  537. SCO        p  -  -  -  -  -  -  -   -  -  -  -  -  -
  538. SecDynamics    -  -  -  -  -  -  -  tH  -  -  -  -  -  -
  539. Sequent        -  -  -  -  -  -  -  4H  -  -  -  -  -  -
  540. Solaris 2.0    p  -  -  -  H  -  -  4T  -  -  -  -  d  4 Cray has a K4 port
  541. SunOS 4.0.1    4  A  -  -  5  -  4  4T  -  -  -  -  -  -  
  542. SunOS 4.1    4  A  -  -  5  -  4  4T  -  -  -  -  -  -
  543. Telebit        -  -  -  -  -  -  -  -   -  -  -  -  4  -  
  544. Ultrix 4.1    4  A4 -  -  H  -  4  -   -  -  -  -  4  -  
  545. VM        -  -  -  -  -  4  -  -   -  -  -  -  4  -
  546. VMS        -  -  -  -  -  -  -  -   4d -  4  4  -  -
  547. Win3.1        -  -  -  -  -  -  -  tH  -  -  -  -  -  p
  548. Xyplex        -  -  -  -  -  -  -  -   -  -  -  -  4  -
  549. who        c  d  e  f  g  i  m  o   p  r  t  w  z  other
  550.  
  551. Please send updates to Greg Edwards, edwardsg@iscnvx.is.lmsc.lockheed.com
  552.  
  553. 3.  Building and Installing Kerberos
  554. ----------------------------------------------------------------------
  555.  
  556. (3.1)    Why do I get an error message from ld when make_commands is
  557.     executed? 
  558.  
  559. The make_commands program (from the file util/ss/make_commands.c,
  560. around line 101) spawns ld as part of its normal operation.  The
  561. arguments to ld are hard-coded into the exec() call and are not
  562. correct for all systems.  To fix the problem, examine the call and
  563. determine the correct arguments for your environment; once you know
  564. the correct arguments, the change to the source code will be obvious.
  565.  
  566. (3.2)    Why doesn't KRB5-types.h exist when I build version 5?
  567.  
  568. There's a bug in Sun's imake/cpp setup, so the Makefile that is
  569. generated in lib/asn.1 is broken.  KRB5-types.h is generated by the
  570. ISODE program pepsy; look in the makefile just before pepsy is called.
  571. It's fairly obvious where a tab character is missing.
  572.  
  573. 4.  Miscellaneous
  574. ----------------------------------------------------------------------
  575.  
  576. (4.1)    List references for Kerberos and network security in general.
  577.  
  578. See the bibliography at the end of this document.
  579.  
  580. (4.2)    Where are archives of comp.protocols.kerberos (a.k.a 
  581.     kerberos@athena.mit.edu)?
  582.  
  583. Archives are available via anonymous FTP from athena-dist.mit.edu in
  584. the directory pub/kerberos/krb-mail.  The kerberos@athena.mit.edu
  585. archives prensently extend up to the end of 1992.  Some archives of
  586. the kerberos protocol mailing list are also available.
  587.  
  588. ----------------------------------------------------------------------
  589.  
  590. BIBLIOGRAPHY
  591.  
  592. The FTP site for a reference, when known, is listed in square brackets
  593. following the entry.  Yes, I know that these are not in Officially
  594. Blessed Bibliography Format.  Sue me.
  595.  
  596. [1] Jennifer G. Steiner, Clifford Neuman, Jeffrey I. Schiller.
  597. "Kerberos: An Authentication Service for Open Network Systems", USENIX
  598. Mar 1988.  [athena-dist.mit.edu:pub/kerberos/doc/usenix.PS]
  599.  
  600. [2] S. P. Miller, B. C. Neuman, J. I. Schiller, and J. H. Saltzer,
  601. "Kerberos Authentication and Authorization System", 12/21/87.
  602.  
  603. [3] R. M. Needham and M. D.  Schroeder, "Using Encryption for
  604. Authentication in Large Networks of Computers," Communications of the
  605. ACM, Vol.  21(12), pp. 993-999 (December, 1978).
  606.      
  607. [4] V. L. Voydock and S. T. Kent, "Security Mechanisms in High-Level
  608. Network Protocols," Computing Surveys, Vol.  15(2), ACM (June 1983).
  609.  
  610. [5] Li Gong, "A Security Risk of Depending on Synchronized Clocks",
  611. Operating Systems Review, Vol 26, #1, pp 49--53.
  612.  
  613. [6] S.M. Bellovin and M. Merritt, "Limitations of the Kerberos
  614. Authentication System," USENIX Jan 1991.
  615. [research.att.com:dist/internet_security/kerblimit.usenix.ps]
  616.  
  617. [7] Refik Molva, Gene Tsudik, Els Van Herreweghen, and Stefano Zatti,
  618. "KryptoKnight Authentication and Key Distribution System."
  619. [jerico.usc.edu:pub/gene/kryptoknight.ps.Z]
  620.  
  621. [8] C. Neumann and J. Kohl, "The Kerberos(tm) Network Authentication
  622. Service (V5)," April 1992.  Currently released as an Internet Draft.
  623.  
  624. -- 
  625. Barry Jaspan, bjaspan@gza.com
  626. Geer Zolot Associates
  627.