home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / ietf / osids / 90dec.min

next >

Wrap

Text File  |  1993-02-17  |  31KB  |  785 lines

---

1.  
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6. Reported by Richard Colella/NIST, Steve Kille/UCL
7. and Peter Whittaker/BNR
8.  
9. OSIDS Minutes
10.  
11. Agenda
12.  
13. Introduction
14.  
15. The meeting was opened by the Chair, Steve Kille (UCL). Introductions
16. were made and minute-takers were solicited.  The proposed agenda was
17. approved and the meeting proceeded accordingly.
18.  
19. Minutes of Previous Meeting
20.  
21. The minutes of the San Jose meeting were approved with minor changes.
22.  
23. Document Distribution
24.  
25. A number of attendees had problems with document distribution.
26.  
27.  
28.   1. ASCII documents were formatted for A4 size paper, which is
29.      inconvenient for those in the U.S.
30.   2. ASCII versions of the documents were somewhat idiosyncratic in
31.      format -- Steve pointed out that the primary form of documents he
32.      generates is PostScript and he was not intending to spend
33.      significant amounts of time reworking the ASCII versions,
34.   3. A number of people could not print the PostScript versions of the
35.      papers retrieved from CNRI -- Steve said that this problem was
36.      easily correctable and he would take care of it.
37.   4. A few people remarked about late distribution of documents and a
38.      consequent lack of time to obtain and review them prior to the
39.      meeting.
40.  
41.  
42. Statement of Objectives/Scope/History
43.  
44. Steve spent a few minutes reviewing the objectives, scope, and history
45.  
46.                                    1
47.  
48.  
49.  
50.  
51.  
52.  
53. of the group for those who were not at San Jose.  He emphasized that the
54. DSWG was chartered to develop a technical framework for an X.500
55. deployment, but was not intent on being the instrument for deployment.
56.  
57. Introduction of Documents
58.  
59. Steve briefly introduced each of the documents that were input to the
60. meeting:
61.  
62.  
63.    o ``Replication Requirement to Provide an Internet Directory Using
64.      X.500.''  S.E.Kille.
65.    o ``Replication to Provide an Internet Directory Using X.500:  A
66.      Proposed Solution.''  S.E.Kille.
67.    o ``IETF Directory Working Group Scope (Version 3).''  S.E.Kille.
68.    o ``The COSINE and Internet X.500 Naming Architecture.''  P.Barker
69.      and S.E.Kille.
70.    o ``Building an Internet Directory Using X.500.''  S.E.Kille.
71.    o ``An Interim Approach to Use of Network Addresses.''  S.E.Kille.
72.    o ``A String Encoding of Presentation Addresses.''  S.E.Kille.
73.    o Using the OSI Directory to Achieve User Friendly Naming.''
74.      S.E.Kille.
75.  
76.  
77. Liaisons
78.  
79. NADF -- Marshall Rose (PSI)
80.  
81. The North American Directory Forum (NADF) is a consortium of service
82. providers and potential service providers of public X.400 and X.500
83. services.  The NADF has as its focus the North American market.
84. However, they realize the need for international connections, possibly
85. through multi-lateral agreements.  Their raison d'etre is to figure out
86. how to share proprietary information, required to provide a seamless
87. service, without compromising their business interests.
88.  
89. The NADF has had four meetings to date.  Their next meeting is in March,
90. 1991.  Stable technical proposals addressing some of the NADF members'
91. concerns will probably be made in March, but the consensus process makes
92. actual timeliness for agreements uncertain.
93.  
94. The primary contact for the NADF is Don Casey (Western Union).  To
95. provide continuity, a standing Chair, Ted Meyer (Rapport), has been
96. retained.
97.  
98. OIW Dir SIG -- You-Bong Weon-Yoon (ATT)
99.  
100.                                    2
101.  
102.  
103.  
104.  
105.  
106.  
107. The OSI Implementors' Workshop (OIW) produces multi-vendor agreements
108. based on OSI standards.  The Directory Special Interest Group (Dir SIG)
109. produces agreements on the X.500/ISO 9594 standard.  Current work in the
110. SIG is in developing international standard profiles (ISPs) through
111. coordination with the two other regional OSI workshops, EWOS in Europe
112. and AOW in the Pacific rim area.
113.  
114. Beginning in the December, 1990 meeting, the SIG will begin developing
115. multi-vendor implementation agreements on replication, access control,
116. and distributed operations (the latter will be coordinated with the
117. OSINET work on interoperability test development).
118.  
119. RARE WG3 -- Steve Kille (UCL)
120.  
121. RARE WG3 has two subgroups of interest:  a user information area and a
122. group working on directories.  The Directory group has an analogous
123. function in Europe to this Working Group of the IETF. The next meeting
124. of RARE WG3 is January 17-18 in Brussels.
125.  
126. ISO/CCITT Meeting in Ottawa -- Steve Kille (UCL)
127.  
128. Steve summarized the current work in Directory standardization as it
129. stood after the Ottawa meeting.  The main areas of interest were in:
130.  
131.  
132.    o Extensions to the information model in the areas of schema (e.g.,
133.      publication) and operational attributes (i.e., those associated
134.      with a subtree, such as access control defaults).
135.    o Abstract services -- e.g., paged results (does not deal with
136.      collating).
137.    o Matching rules -- will be user-extensible, rather more formally
138.      defined than today, and bound to attribute syntax.
139.    o Replication -- now a CD (Committee Draft -- what used to be a DP);
140.      defines incremental shadowing, among other paradigms.
141.    o Distributed entries -- large and complex document, not well
142.      organized and difficult to comprehend.  CCITT is intent on seeing
143.      this in 1992, but it is not believed to even be a Work Item in IEC.
144.    o Short-form names -- some support is expected in 1992, though not
145.      necessarily a good technical solution.
146.    o Migration from '88 to '92 X.500 -- a document is available on this.
147.    o Access control -- work is progressing, but the editor recently
148.      resigned.  A new editor has taken over and the access control
149.      documents have been reissued on a second PDAM ballot (Proposed
150.      Draft Amendment -- used to be PDAD).
151.  
152.  
153. PSI White Pages Pilot Presentation -- Marshall Rose (PSI)
154.  
155.  
156.                                    3
157.  
158.  
159.  
160.  
161.  
162.  
163. Information is available as PSI TR 90-05-10-1 and PSI TR 90-09-10-1 from
164. info@psi.com.
165.  
166. Marshall provided an overview of the PSI WP Pilot.  As a digression, he
167. described an alternative name registration scheme based on the existing
168. civilian naming infrastructure for states, counties, cites, etc.  Some
169. questions remain.  This will likely come onto the agenda at the next
170. meeting.
171.  
172. FOX -- Paul Mockapetris (DARPA)
173.  
174. Paul briefly discussed the Field Operational X.500 (FOX) project that
175. DARPA is funding.  It is based on a pair of meetings that occurred two
176. years ago which resulted in RFC 1107.  There are four participants:
177.  
178.  
179.   1. ISI -- main contractor and responsible for project oversight.
180.   2. NYSERNet/PSI.
181.   3. Merit.
182.   4. SRI.
183.  
184.  
185. The objectives are twofold:
186.  
187.  
188.   1. Get X.500 closer to operational status.
189.   2. Demonstrate interoperability among multiple X.500 implementations.
190.  
191.  
192. SRI will use the NIST implementation and investigate supporting some of
193. their traditional roles, such as registration.  Merit is considering
194. using X.500 to publish network numbers.  PSI will be cooperating in
195. interoperability testing with the NIST implementation and another
196. implementation (as yet undecided).
197.  
198. Cosine Pilot Directory Service -- Steve Kille (UCL)
199.  
200. The slides of this talk are available from UCL. Mail to
201. info-server@cs.ucl.ac.uk.
202.  
203. Scope of Group and Review of Charter
204.  
205. Fundamentally, there were no significant disagreements about what the
206. scope and charter documents say.  There were two specific decisions
207. made:
208.  
209.                                    4
210.  
211.  
212.  
213.  
214.  
215.  
216.   1. The scope should specifically state that the aim of the group is to
217.      align with the base standards and profiles on the extensions when
218.      these become available, and,
219.   2. The charter will be collapsed into the scope document.
220.  
221.  
222. Infrastructure Strategy
223.  
224. The document ``Building an Internet Directory Using X.500'' was
225. discussed.  The substance of the discussions was:
226.  
227.  
228.    o The document needs a caveat that this approach will not necessarily
229.      address everyone's X.500 needs.
230.    o Need to address the issue of name allocation at the top levels of
231.      the naming tree.
232.    o Need to do a better job of naming DSAs, rather than just having
233.      them named high up in the tree (which is awkward).
234.    o Under the section on replication of knowledge and data, add that an
235.      intercept strategy could be defined by others (e.g., the OIW Dir
236.      SIG), not necessarily by this Working Group.
237.    o In Section 3.3, the sentence that begins, ``There is a requirement
238.      to extend...''  will be amended to read, ``There may be a
239.      requirement to extend...''.
240.  
241.  
242. There was general agreement on the contents of the document and folks
243. felt that it should move forward.  Steve proposed that the target should
244. be to have it become an RFC in one to six months.
245.  
246. Replication Requirements and Scheme
247.  
248. A number of issues arose during the discussion of replication:
249.  
250.  
251.    o Lower-layer stacks -- combinations of LL stacks should be allowed
252.      even thought this results in less-than full interconnectivity of
253.      DSAs.  However, guidance should be given on the desirability of
254.      having increasingly richer connectivity as one moves higher up in
255.      the tree.
256.    o Remove Section 3 of requirements document -- this is either a
257.      trivial or intractable problem; in either case, no statement is
258.      needed.
259.    o Section 5 of requirements -- there was some confusion about what
260.      this section meant.  Steve agreed to rewrite it in words similar to
261.      those he used in explaining it.
262.    o Section 6 of requirements -- the new scaling target will be 100,000
263.      non-leaf entries, given that this is at least an order of magnitude
264.  
265.                                    5
266.  
267.  
268.  
269.  
270.  
271.  
272.      greater than what we think is really required.
273.    o Replication approach -- after some discussion of the appropriate
274.      approach to take to replication --- a non-standard scheme such as
275.      that in QUIPU, an intercept strategy, or wait for the standard.
276.      The general discussion was inconclusive.  A subgroup, consisting of
277.      those most active in the overall disucssions was formed (DO, PM,
278.      PK, GM, SK) to look at the problems, and in particular the issues
279.      of migration.  The consensus of the off-line discussion was that
280.      the best approach, all things considered, was to use a scheme based
281.      on that described in the replication proposed solution document.
282.      This was agreed to by the rest of the Working Group.  Also agreed
283.      was that a replication scheme based on the standards work will be
284.      adopted when available.  The interim nature of the solution should
285.      be emphasized.  It was noted that DUA/DSA interaction is not
286.      affected.
287.  
288.  
289. Domains and X.500
290.  
291. There was some discussion on how to represent Domain Names (DN) (i.e.,
292. the attributes) in the X.500 DIT: octet strings or IA5 strings.  There
293. seemed to be some confusion about what the implications of this are.
294. Steve said that he would talk to Paul Mockapetris off-line and figure
295. out what the issues really are.
296.  
297. There was some lengthy discussion on the utility of storing DNS
298. information in the DIT.
299.  
300. Steve agreed to make the minor changes to the document suggested by the
301. discussion.  Otherwise, he will progress the document as an RFC pretty
302. much as is.
303.  
304. Day 2
305.  
306. Gita Gopal of Bellcore gave a presentation on a Bellcore research
307. project studying methods of providing support for distributed entries in
308. a heterogeneous multi-server, multi-protocol, multi-media, multi-context
309. environment.
310.  
311. The Bellcore method is based on a central Linking Data Base, (LDB) which
312. contains one entry per person keyed on a unique Personal Identifier
313. (PID). Each entry contains references to all known Databases (DB)
314. holding information about the particular individual, as well as the
315. protocol information necessary to access those DBs (i.e., J. Foobar,
316. Widget Inc, X.500 DSA, RFC1006 address, etc...).
317.  
318. The chief goal of this project is to allow users to access any and all
319.  
320.                                    6
321.  
322.  
323.  
324.  
325.  
326.  
327. information about individuals maintained by various DBs using only
328. information from a particular DB. For example, given a DN for a person's
329. business entry (i.e., an organizationalPerson), a user would be able to
330. send mail to that person's home by telling a UA to check the LDB and use
331. the business DN to find a residential OR address.
332.  
333. The use of aliases in an X.500 DIB was suggested as an alternative
334. method of achieving the same results, but was rejected as being
335. inapplicable to distributed entries.  The LDB solves the distributed
336. entry problem by considering the person as the essential element rather
337. then focusing on the entries themselves.
338.  
339. Contexts are supported using a dynamic schema.  Users are expected to
340. have some knowledge of the context from which they are searching (the
341. example of having to know what a telephone number is, and what equipment
342. it can be used with, before being able to make use of it, was raised as
343. analogous to the LDB scheme).
344.  
345. There are several outstanding issues that require further research:  the
346. LDB only links entries for people - certain simplifying assumptions have
347. been made based on this - the capability for handling the more complex
348. interactions and interlinkages that might arise when linking information
349. about machines, applications, or organizations; security has not been
350. thoroughly explored, nor have access controls; the ``publishability'' of
351. PIDs needs further investigation - are these to be used exclusively as
352. internal pointers, or has more general ``personal access (i.e., phone)
353. numbers''?; management and generation of unique PIDs, and the
354. administrative problems involved.
355.  
356. User Friendly Naming
357.  
358. Discussion then turned to Steve Kille's paper on User Friendly Naming.
359. The goals of this paper are the provision of:  an improved method of
360. transmitting names, and better handling of purported name lookup.
361.  
362. The result of the discussion was that Steve would revise the paper to
363. reflect the issues and concerns raised by the Working Group, and present
364. it again at the next meeting.
365.  
366. Among the issues raised were:
367.  
368.  
369.    o Tuning the algorithm to handle changes in DNs; at the moment, a
370.      change to a previously resolved DN makes that earlier resolution
371.      useless (the user would have to go through the process of resolving
372.      a purported name each time a DN changed).
373.    o The addition of ``yet another'' syntax, and the related issue of
374.  
375.                                    7
376.  
377.  
378.  
379.  
380.  
381.  
382.      other work in the field, specifically the OSF work.
383.  
384.  
385. It was decided that the paper would reference and track the OSF work.
386.  
387. Yew-Bong referred to the work of Al Grimstad of Bellcore, which was
388. submitted to CCITT SG VII as a corporate position on User Friendly
389. Naming.  Current SG work should also be tracked.
390.  
391. The X.500 SG is unlikely to provide a standard until 1996:  should this
392. method be submitted for SG VII consideration?
393.  
394. Moving from one machine to another:  is it reasonable to expect the same
395. syntax to work under different architectures (i.e., VM and Unix, where,
396. for example, the meaning of ```' to the command line interpreter is
397. vastly different (quote on Unix, escape character on VM).
398.  
399. The related issue of allowing a user to ``tune'' his environment:
400. different machines (under the control of different organizations) might
401. have different ``correct'' behaviour.  User customization might hide or
402. expose these differences, and make searching more difficult.
403.  
404. Vinton Cerf and Peter Mierswa suggested that User Friendly Names are
405. inappropriate as an ``exchange format'':  only DNs should be relied
406. upon, and communicated between users.  In addition, Vint suggested that
407. ``guessability'' was less important than exactness.
408.  
409. Paul Mockapetris raised the question of the ``Monte Carlo'' method of
410. name resolution:  users guess at a name and receive a list of
411. possibilities; they continue guessing until they get the DN they want or
412. need.  The user interface should allow this behaviour.
413.  
414. The current model does not handle deep DITs very well; more work is
415. needed in this area.  It would help if the top two or three levels had
416. ``non-obscure'' names.  Wild Card searches (especially leading Wild
417. Cards) need further investigation.  Multiple occurrences of the same
418. string in a DN (i.e., as both a county and a city) must be underlined to
419. the user.  DNs should always be returned when resolved - should users be
420. able to build dependencies on purported names?  Care must be taken when
421. stripping RDNs for ``displayability''.
422.  
423. Replication Solutions
424.  
425. Steve introduced this section by noting that several documents bear
426. directly on this subject, notably the proposed RFCs on Presentation
427. Address Representation and Network Address Representation.  It was
428.  
429.                                    8
430.  
431.  
432.  
433.  
434.  
435.  
436. decided that these would be dealt with first.
437.  
438. Network Addressing
439.  
440. Steve's summary of the problem, and the solution offered in his paper:
441.  
442. If you look at an OSI address from a DIT, you get a presentation
443. address, which works fine with an OSI network service, but does not work
444. with RFC1006 or X.25( 80) addresses, owing to the lack of an OSI network
445. server for these address formats.  This document provides a method,
446. using Telex addresses, to map non-OSI addresses onto OSI addresses.  It
447. is ugly, but it is functional, and requires no extensions to current
448. protocol.
449.  
450. The OSF Towers solution allows you to slice different protocols in and
451. out at any particular layer, allowing you a choice of transport and
452. network addresses.  It is a better and more elegant solution, but it
453. requires extension to X.500(88).  This is unacceptable, in Steve's view.
454. Ideally, Steve would like to push OSI/CCITT into adopting OSF Towers for
455. 1992; we could move to it at that time.  Until then, however, it would
456. be better to go with an interim solution that does not require protocol
457. extensions, but that allows full inter-connectivity.
458.  
459. After a brief discussion to clarify the reasons for adopting this method
460. over the Towers method, it was agreed that this would be accepted as the
461. OSI-DS WG official recommendation on network addressing, but that it
462. would be explicitly noted as an interim solution only.
463.  
464. Among the concerns raised were:
465.  
466. OSF Towers and this method are both ``hacks'', the former as it requires
467. extensions, the latter as it uses the UCL Telex number as the basis of
468. network addresses.  Steve's method is less of a hack, though.
469.  
470. This method does not guarantee 100interpret the Telex number, then it
471. will not be able to contact the specified entity.  Steve admits that
472. this method does not give 100success, but since it uses current
473. protocols rather than extensions, it will offer a better success rate
474. than Towers.
475.  
476. Presentation Addresses
477.  
478. Steve believes this document must be taken in concurrence with the
479. Network Addressing document because it provides for better handling of
480. dotted decimal encodings, and provides an extension to presentation
481. address handling (`/' changed to `+') to bring our work in line with ISO
482.  
483.                                    9
484.  
485.  
486.  
487.  
488.  
489.  
490. 8348 (X.213).
491.  
492. QUESTION: This is an extension to the standard?  RESPONSE: Steve.  Yes.
493.  
494. QUESTION: Is there a need to represent a presentation address that
495. specifies an IP address that is not an RFC1006 address?  RESPONSE:
496. Steve.  I hope not, but we need to be able to specify IP addresses that
497. are not on the Internet, such as local LANs.
498.  
499. After minimal discussion, it was agreed that this document should
500. proceed in parallel with the Network Addressing paper.
501.  
502. Replication Solutions
503.  
504. Steve provided an overview of the current proposal:
505.  
506. Sec.  1:  Benefits of the approach:  it has been proven in operation;
507. owing to its current use, there will be minimal effort involved in
508. moving to it as a pilot standard; the approach is simpler and easier to
509. implement than the current standards approach.
510.  
511. Sec.  2:  Enhancement of Distributed Operations to provide better
512. handling of referrals and chaining (an extension to the standard).  This
513. approach is closely tied to the previously reviewed papers on network
514. and presentation addresses.  It uses the concept of a ``community''
515. (coded into the presentation address) to allow a DSA to decide if a DUA
516. and another DSA can in fact communicate directly.
517.  
518. Sec.  3:  Extend the semantics of X.500 so that DSAs can deal more
519. intelligently with Subordinate, Cross, and Non-Specific Subordinate,
520. References.
521.  
522. Sec.  4:  The replication data model:  replication of all sibling
523. entries rather than subtrees, or specific entries.
524.  
525. Sec.  5:  Improved DSA naming:  placing DSA names in a well known DSA
526. with root knowledge; placing DSA names in the higher (closer to the
527. root) portions of the DIT.
528.  
529. Sec.  6:  Definitions of objects necessary to represent knowledge
530. information in the DIT (rather than having DSAs maintain it as a ``local
531. matter'').
532.  
533. Sec.  7:  Definition of a simple replication protocol:  data propagation
534.  
535.                                   10
536.  
537.  
538.  
539.  
540.  
541.  
542. in a star-like fashion.
543.  
544. Sec.  8:  Definition of the ``Internet DSP'' Application Context to
545. allow for easier identification of Internet extensions.
546.  
547. Sec.  9:  Scaling limits and migration strategy.
548.  
549. Sec.  10:  Reserved for future definitions of application contexts,
550. object classes, and attributes necessary for replication
551.  
552. The result of the discussion was that Steve would revise the paper to
553. reflect replicated EDBs in pieces, rather than single units.  This
554. extension will be available in the next release.
555.  
556. In addition, Steve introduced the ASN.1 required to allow QUIPU to
557. transfers replicated EDBs in pieces, rather than single units.  This
558. extension will be available in the next release.
559.  
560. Steve also suggested that it would be appropriate to write a paper on
561. how to structure the DIT to achieve high performance and high
562. reliability using current replication methodologies.  He took this as an
563. action item for himself.  This document could then be put forward as a
564. statement of administrative guidelines on DSA naming, and DIT structure.
565.  
566. Issues raised:
567.  
568. Scaling:  the paper quotes 10000 units as the upper level of
569. scalability.  Steve noted that this refers to fan-out, not number of
570. entries, as the unit of replication is a single level, and not an entry
571. or subtree.  Steve also noted that QUIPU would be extended to allow
572. incremental updates of replicated data using an MHS. Since the master
573. DSA would always be reachable, there would be no problem in using MHS to
574. transfer EDBs while using replicated data to lookup the appropriate MHS
575. address.
576.  
577. DSA-DUA communities.  The paper as presented did not properly described
578. how a DSA decides whether or not a DUA and another DSA can communicate
579. directly.  Steve indicated that he would rephrase Section 2 to reflect
580. the fact that PSAP communities are used to make this decision, not
581. actual physical connections.
582.  
583. Vint asked whether access controls were replicated.  Steve answered that
584. private agreements must be used to maintain ACLs on replicated data, and
585. that an open environment would be publicly readable.  ACs are stripped
586. during replication as they are a private matter:  only published schema
587. get transferred.
588.  
589.                                   11
590.  
591.  
592.  
593.  
594.  
595.  
596. Paul questioned the Section 3 use of NSSRs:  the changing of NSSR
597. semantics from AND to OR would mean that multiple DSAs could not hold
598. different ``chunks'' of superior entries.  Steve indicated that he would
599. place a clear warning about this in the document.
600.  
601. Expiration dates on information:  Two separate issues were identified:
602. caching and replication.  It was determined that caching requires a TTL
603. mechanism, but that replication can use a simpler approach, such as
604. having a slave make regular ``pulls'' from the master.  Paul noted that
605. applications must be built to expect stale data (X.500 makes no
606. guarantees about data freshness), and that obtaining authoritative data
607. is an application problem.  It was decided that the unit of replication
608. would be delivered with an advisory refresh date.
609.  
610. Naming Architecture Registration
611.  
612. Steve:  In order to build useful applications, we need to extend the
613. Naming Architecture as supplied in the standard.  This paper describes
614. the formal administrative support for the creation of new elements in
615. the architecture.  The aim of this session is to discuss and define the
616. registration and maintenance methodologies (currently UCL maintains
617. pilot architecture for both the Internet and COSINE). UCL would maintain
618. ownership of this document until the end of the COSINE project in
619. December of 1992.  It is hoped that this work will have been
620. incorporated by the standards bodies by that time.  The document defines
621. an arbitration method for deciding what does and does not become part of
622. the naming architecture:  the editor has discretionary powers to
623. include, exclude, or modify, as needed, subject to appeals to the OSI-DS
624. Working Group mailing list, or arbitration from RARE and the OSI-DS
625. Working Group.
626.  
627. After a brief discussion, it was agreed that this document could be
628. issued (with minor revisions) as the first RFC of the DS series, and
629. that it would be updated every 3-6 months.
630.  
631. Issues raised:
632.  
633. Size of entries in a DIT: concern focused primarily on the size of the
634. photo attribute.  After some discussion, Steve indicated that he would
635. reword the document to indicate that participating DSAs can store
636. entries at their discretion, but that if they choose to store entries of
637. a given type, they must agree to store the published attribute maximum
638. sizes.
639.  
640. Several individuals mentioned concerns with certain object classes and
641. attribute types listed in the paper.  After gentle chiding from Steve,
642. they agreed to test the procedure by submitting complete ASN.1 proformas
643. for the additions they were concerned with.
644.  
645.                                   12
646.  
647.  
648.  
649.  
650.  
651.  
652. Steve indicated that he would make an arbitrary decision whether or not
653. to include the appendices Unix shells for Naming Architecture
654. Maintenance.  They were considered useful, but not for everyone.
655.  
656. Security Considerations
657.  
658. Peter Yee:  this paper identifies some of the security issues that must
659. be addressed when planning a security policy for the Internet pilot.
660.  
661. Steve Kille:  We must distinguish between X.500 as a user and as a
662. provider of security for the pilot.  As a provider, we can use X.509 in
663. a very straightforward fashion.
664.  
665. As a user of security services, we have a more interesting issue.
666. Unlike replication, we can work entirely within the standards.  We need
667. to prepare notes identifying the organizational issues involved, and
668. documenting methods addressing these issues.  There are three main areas
669. of concern:  authentication, access control, and remote updates.
670.  
671. After considerable discussion, it was agreed that Peter Yee should
672. revise and resubmit his document for consideration at the next meeting.
673. Steve Kille asked for volunteers to do the ``voluminous legwork''
674. required to research and resolve the open items in this area, but there
675. were no volunteers.
676.  
677. Issues raised:
678.  
679. Remote management.  There was considerable disagreement over the issue
680. of simple authentication as adequate security for remote management.
681. PEM representatatives and proponents of strong authentication felt that
682. simple authentication was not appropriate, as it would be too easy for
683. an outsider to remove or modify certificates, or keys.
684.  
685. One proposed solution that was partially acceptable is the requirement
686. that DSAs be able to store X.509 information (certificate lists, public
687. and private keys, certificates), and that DSAs using simple
688. authentication or no authentication would not allow remote updates.
689.  
690. Searchability.  Several participants indicated that without some form of
691. access control, they would not open their DSAs to the Internet, as they
692. did not want to allow ``DSA dumping''.  It was generally accepted that
693. authentication (simple or strong) or ``skinny pipes'' on searches would
694. be acceptable.
695.  
696. Steve Kille has since proposed a method of limiting searches and lists
697. to the OSI-DS Working Group mailing list.
698.  
699.                                   13
700.  
701.  
702.  
703.  
704.  
705.  
706. Applications that require X.509.  There was some debate over whether or
707. not the number of applications requiring strong authentication would
708. actually increase if it were provided.  More research is needed, as this
709. is a ``chicken or egg'' situation:  do the applications cry out for
710. X.509, or does X.509 invite new applications?
711.  
712. The relationship between the OSI-DS Working Group and RSADSI/PKP. It was
713. suggested that perhaps the IETF or the IAB could negotiate an
714. Internet-wide RSA license with the relevant bodies.  More liason work
715. and research is needed.
716.  
717. Next Meeting
718.  
719. SRI offered to host the next meeting in California, Feb.  12-13.  Steve
720. will issue a preliminary agenda in the near future.
721.  
722. AOB
723.  
724. Standard APIs.  It was agreed that the IETF should adopt a standard API
725. for the pilot.  X/OPEN and XDS were mentioned.  This item will be
726. discussed further at the next meeting.
727.  
728. The Canadian X.500/Library Project.  Dave Brent asked if the Working
729. Group should look into this.  Steve asked for volunteers to propose an
730. RFC on the subject.  This will be discussed at the next meeting.
731.  
732. Attendees
733.  
734. Karl Auerbach            karl@eng.sun.com
735. David Brent              brent@CDNnet.ca
736. Ross Callon              callon@bigfut.enet.dec.com
737. Lida Carrier             lida@apple.com
738. Vinton Cerf              vcerf@NRI.Reston.VA.US
739. Richard Colella          colella@osi3.ncsl.nist.gov
740. Curtis Cox               zk0001@nhis.navy.mil
741. Tom Easterday            tom@nisca.ircc.ohio-state.edu
742. Karen Frisa              karen.frisa@andrew.cmu.edu
743. J. Joaquin Garcia-Luna   garcia@sri.com
744. Gita Gopal               gita@bellcore.com
745. Martin Gross             gross@polaris.dca.mil
746. Ian Hamilton             ianh@bnr.ca
747. Alf Hansen               Alf.Hansen@pilot.cs.wisc.edu
748. Juha Heinanen            jh@funet.fi
749. Harold Jones             hjones@nac.dec.com
750. Steve Kille              S.Kille@cs.ucl.ac.uk
751. Mark Knopper             mak@merit.edu
752. Paul Koski               koski@hpindeg.cup.hp.com
753.  
754.                                   14
755.  
756.  
757.  
758.  
759.  
760.  
761. Marilyn Martin           martin@netcom.ubc.ca
762. Judy Messing             messing@gateway.mitre.org
763. Peter Mierswa            mierswa@smaug.enet.dec.com
764. Greg Minshall            minshall@wc.novell.com
765. Paul Mockapetris         pvm@darpa.mil
766. Daniel Molinelli         moline@trw.com
767. James Mostek             mostek@cray.com
768. David Oran               oran@sneezy.enet.dec.com
769. Marshall Rose            mrose@psi.com
770. Theresa Senn             tcs@cray.com
771. Harvey Shapiro           shapiro@wnyose.nardac-dc.navy.mil
772. Karen Sollins            sollins@lcs.mit.edu
773. You-Bong Weon-Yoon       youbong@arch2.att.com
774. Peter Whittaker          pww@bnr.ca
775. Linda Winkler            b32357@anlvm.ctd.anl.gov
776. Dan Wintringham          danw@osc.edu
777. Russ Wright              wright@lbl.gov
778. Sze-Ying Wuu             syww@thumper.bellcore.com
779. Peter Yee                yee@ames.arc.nasa.gov
780. David Zimmerman          dpz@dimacs.rutgers.edu
781.  
782.  
783.  
784.                                   15
785.