home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / rfcs / rfc1411.txt < prev    next >
Text File  |  1996-05-07  |  8KB  |  118 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                  D. Borman, Editor Request for Comments: 1411                           Cray Research, Inc.                                                             January 1993 
  8.  
  9.                 Telnet Authentication: Kerberos Version 4 
  10.  
  11. Status of this Memo 
  12.  
  13.    This memo defines an Experimental Protocol for the Internet    community.  Discussion and suggestions for improvement are requested.    Please refer to the current edition of the "IAB Official Protocol    Standards" for the standardization state and status of this protocol.    Distribution of this memo is unlimited. 
  14.  
  15. 1. Command Names and Codes 
  16.  
  17.    Authentication Types 
  18.  
  19.       KERBEROS_V4  1 
  20.  
  21.    Suboption Commands 
  22.  
  23.       AUTH         0       REJECT       1       ACCEPT       2       CHALLENGE    3       RESPONSE     4 
  24.  
  25. 2.  Command Meanings 
  26.  
  27.    IAC SB AUTHENTICATION IS <authentication-type-pair> AUTH <kerberos    ticket and authenticator> IAC SE 
  28.  
  29.       This is used to pass the Kerberos ticket to the remote side of the       connection.  The first octet of the <authentication-type-pair>       value is KERBEROS_V4, to indicate the usage of Kerberos version 4. 
  30.  
  31.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> ACCEPT IAC SE 
  32.  
  33.       This command indicates that the authentication was successful. 
  34.  
  35.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> REJECT    <optional reason for rejection> IAC SE 
  36.  
  37.       This command indicates that the authentication was not successful,       and if there is any more data in the sub-option, it is an ASCII       text message of the reason for the rejection. 
  38.  
  39.  
  40.  
  41. Telnet Working Group                                            [Page 1] 
  42.  RFC 1411             Kerberos Version 4 for Telnet          January 1993 
  43.  
  44.     IAC SB AUTHENTICATION IS <authentication-type-pair> CHALLENGE    <encrypted challenge> IAC SE    IAC SB AUTHENTICATION REPLY <authentication-type-pair> RESPONSE    <encrypted response> IAC SE 
  45.  
  46.       These two commands are used to perform mutual authentication.       They are only used when the AUTH_HOW_MUTUAL bit is set in the       second octet of the authentication-type-pair.  After successfully       sending an AUTH and receiving an ACCEPT, a CHALLENGE is sent.  The       challenge is a random 8 byte number with the most significant byte       first, and the least significant byte last.  When the CHALLENGE       command is sent, the "encrypted challenge" is the 8-byte-challenge       encrypted in the session key.  When the CHALLENGE command is       received, the contents are decrypted to get the original 8-byte-       challenge, this value is then incremented by one, re-encrypted       with the session key, and returned as the "encrypted response" in       the RESPONSE command.  The receiver of the RESPONSE command       decrypts the "encrypted response", and verifies that the resultant       value is the original 8-byte-challenge incremented by one. 
  47.  
  48.       The "encrypted challenge" value sent/received in the CHALLENGE       command is also encrypted with the session key on both sides of       the session, to produce a random 8-byte key to be used as the       default key for the ENCRYPTION option. 
  49.  
  50. 3.  Implementation Rules 
  51.  
  52.    If the second octet of the authentication-type-pair has the AUTH_WHO    bit set to AUTH_CLIENT_TO_SERVER, then the client sends the initial    AUTH command, and the server responds with either ACCEPT or REJECT.    In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the    server responds with ACCEPT, then the client then sends a CHALLENGE,    and the server sends a RESPONSE. 
  53.  
  54.    If the second octet of the authentication-type-pair has the AUTH_WHO    bit set to AUTH_SERVER_TO_CLIENT, then the server sends the initial    AUTH command, and the client responds with either ACCEPT or REJECT.    In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the    client responds with ACCEPT, then the server then sends a CHALLENGE,    and the client sends a RESPONSE. 
  55.  
  56.    The authenticator (Kerberos Principal) used is of the form    "rcmd.host@realm". 
  57.  
  58. 4.  Examples 
  59.  
  60.    User "joe" may wish to log in as user "pete" on machine "foo".  If    "pete" has set things up on "foo" to allow "joe" access to his 
  61.  
  62.  
  63.  
  64. Telnet Working Group                                            [Page 2] 
  65.  RFC 1411             Kerberos Version 4 for Telnet          January 1993 
  66.  
  67.     account, then the client would send IAC SB AUTHENTICATION NAME "pete"    IAC SE IAC SB AUTHENTICATION IS KERBEROS_V4 AUTH <joe's kerberos    ticket> IAC SE The server would then authenticate the user as "joe"    from the ticket information, and since "pete" is allowing "joe" to    use his account, the server would send back ACCEPT.  If mutual    authentication is being used, the the client would send a CHALLENGE,    and verify the RESPONSE that the server sends back. 
  68.  
  69.        Client                           Server                                         IAC DO AUTHENTICATION        IAC WILL AUTHENTICATION        [ The server is now free to request authentication information.          ]                                         IAC SB AUTHENTICATION SEND                                         KERBEROS_V4 CLIENT|MUTUAL                                         KERBEROS_V4 CLIENT|ONE_WAY IAC                                         SE        [ The server has requested mutual Version 4 Kerberos          authentication.  If mutual authentication is not supported,          then the server is willing to do one-way authentication. 
  70.  
  71.          The client will now respond with the name of the user that it          wants to log in as, and the Kerberos ticket.  ]        IAC SB AUTHENTICATION NAME        "pete" IAC SE        IAC SB AUTHENTICATION IS        KERBEROS_V4 CLIENT|MUTUAL AUTH        <kerberos ticket information>        IAC SE        [ The server responds with an ACCEPT command to state that the          authentication was successful.  ]                                         IAC SB AUTHENTICATION REPLY                                         KERBEROS_V4 CLIENT|MUTUAL ACCEPT                                         IAC SE        [ Next, the client sends across a CHALLENGE to verify that it is          really talking to the right server.  ]        IAC SB AUTHENTICATION IS        KERBEROS_V4 CLIENT|MUTUAL        CHALLENGE xx xx xx xx xx xx xx        xx IAC SE        [ Lastly, the server sends across a RESPONSE to prove that it          really is the right server.                                         IAC SB AUTHENTICATION REPLY                                         KERBEROS_V4 CLIENT|MUTUAL                                         RESPONSE yy yy yy yy yy yy yy yy                                         IAC SE 
  72.  
  73.  
  74.  
  75.  
  76.  
  77. Telnet Working Group                                            [Page 3] 
  78.  RFC 1411             Kerberos Version 4 for Telnet          January 1993 
  79.  
  80.  Security Considerations 
  81.  
  82.    The ability to negotiate a common authentication mechanism between    client and server is a feature of the authentication option that    should be used with caution.  When the negotiation is performed, no    authentication has yet occurred.  Therefore, each system has no way    of knowing whether or not it is talking to the system it intends.  An    intruder could attempt to negotiate the use of an authentication    system which is either weak, or already compromised by the intruder. 
  83.  
  84. Author's Address 
  85.  
  86.    David A. Borman, Editor    Cray Research, Inc.    655F Lone Oak Drive    Eagan, MN 55123 
  87.  
  88.    Phone: (612) 452-6650    EMail: dab@CRAY.COM 
  89.  
  90.    Mailing List: telnet-ietf@CRAY.COM 
  91.  
  92. Chair's Address 
  93.  
  94.    The working group can be contacted via the current chair: 
  95.  
  96.    Steve Alexander    INTERACTIVE Systems Corporation    1901 North Naper Boulevard    Naperville, IL 60563-8895 
  97.  
  98.    Phone: (708) 505-9100 x256    EMail: stevea@isc.com 
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114.  
  115.  
  116.  Telnet Working Group                                            [Page 4] 
  117.  
  118.