home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_q_t / draft-ietf-roamops-nai-02.txt < prev    next >
Text File  |  1997-03-06  |  11KB  |  330 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.      ROAMOPS Working Group                                    Bernard Aboba
  7.      INTERNET-DRAFT                                   Microsoft Corporation
  8.      <draft-ietf-roamops-nai-02.txt>
  9.  
  10.  
  11.                          The Network Access Identifier
  12.  
  13.  
  14.      1.  Status of this Memo
  15.  
  16.      This document is an Internet-Draft.  Internet-Drafts are working docu-
  17.      ments of the Internet Engineering Task Force (IETF),  its  areas,  and
  18.      its  working groups.  Note that other groups may also distribute work-
  19.      ing documents as Internet-Drafts.
  20.  
  21.      Internet-Drafts are draft documents valid for a maximum of six  months
  22.      and  may  be updated, replaced, or obsoleted by other documents at any
  23.      time.  It is inappropriate to use Internet-Drafts as  reference  mate-
  24.      rial or to cite them other than as ``work in progress.''
  25.  
  26.      To  learn  the  current status of any Internet-Draft, please check the
  27.      ``1id-abstracts.txt'' listing contained in the Internet-Drafts  Shadow
  28.      Directories   on   ds.internic.net   (US  East  Coast),  nic.nordu.net
  29.      (Europe), ftp.isi.edu (US West Coast), or munnari.oz.au (Pacific Rim).
  30.  
  31.      The  distribution  of  this memo is unlimited.  It is filed as <draft-
  32.      ietf-roamops-nai-02.txt> and  expires September 15, 1997.  Please send
  33.      comments to the authors.
  34.  
  35.  
  36.      2.  Abstract
  37.  
  38.      This document describes issues relating to user identification in pro-
  39.      vision of "roaming capability" for dialup  Internet  users.   "Roaming
  40.      capability"  may  be  loosely defined as the ability to use any one of
  41.      multiple Internet service providers (ISPs), while maintaining  a  for-
  42.      mal,  customer-vendor  relationship  with only one.  Examples of cases
  43.      where roaming capability might be  required  include  ISP  "confedera-
  44.      tions" and ISP-provided corporate network access support.
  45.  
  46.  
  47.      3.  Introduction
  48.  
  49.      Considerable  interest  has  arisen recently in a set of features that
  50.      fit within the general category of  "roaming  capability"  for  dialup
  51.      Internet users.  Interested parties have included:
  52.  
  53.           Regional  Internet  Service  Providers  (ISPs) operating within a
  54.           particular state or province, looking to  combine  their  efforts
  55.           with  those  of  other regional providers to offer dialup service
  56.           over a wider area.
  57.  
  58.           National ISPs wishing to combine their operations with  those  of
  59.           one  or  more  ISPs in another nation to offer more comprehensive
  60.  
  61.  
  62.  
  63.      Aboba                                                         [Page 1]
  64.  
  65.  
  66.  
  67.  
  68.  
  69.      INTERNET-DRAFT                                            6 March 1997
  70.  
  71.  
  72.           dialup service in a group of countries or on a continent.
  73.  
  74.           Businesses desiring to  offer  their  employees  a  comprehensive
  75.           package of dialup services on a global basis.  Those services may
  76.           include Internet access as well as  secure  access  to  corporate
  77.           intranets via a Virtual Private Network (VPN), enabled by tunnel-
  78.           ing protocols such as PPTP, L2F and L2TP.
  79.  
  80.      This document focuses on issues of  user  identification  for  use  in
  81.      roaming  services.   However,  since roaming and tunneling are closely
  82.      related, it is believed that the considerations  described  here  will
  83.      also be of interest to those working on tunneling.
  84.  
  85.  
  86.      3.1.  Terminology
  87.  
  88.      This document frequently uses the following terms:
  89.  
  90.      Network Access Identifier
  91.                The  Network Access Identifier (NAI) is the userID submitted
  92.                by the client during the PPP negotiation.  In  roaming,  the
  93.                purpose  of  the  NAI  is to identify the user as well as to
  94.                assist in the routing  of  the  authentication  request.  As
  95.                such,  the  NAI  may  be  presented either in the form of an
  96.                authentication route, or a pointer to such a  route.  Please
  97.                note  that  the  NAI  may not necessarily be the same as the
  98.                user's e-mail address or the userID submitted in an applica-
  99.                tion  layer  authentication  (i.e.  HTTP authentication). In
  100.                order to avoid confusion on  this  point,  a  new  term  was
  101.                coined.
  102.  
  103.      Network Access Server
  104.                The  Network  Access Server (NAS) is the device that clients
  105.                dial in order to get access to the network. In  PPTP  termi-
  106.                nology  this  is referred to as the PPTP Access Concentrator
  107.                (PAC), and in L2TP terminology, it is  referred  to  as  the
  108.                L2TP Access Concentrator (LAC).
  109.  
  110.      RADIUS server
  111.                This  is  a  server which provides for authentication/autho-
  112.                rization via the protocol described in [3], and for account-
  113.                ing as described in [4].
  114.  
  115.      RADIUS proxy
  116.                In order to provide for the routing of RADIUS authentication
  117.                and accounting requests, a RADIUS proxy may employed. To the
  118.                NAS,  the  RADIUS  proxy acts as a RADIUS server, and to the
  119.                RADIUS server, the proxy acts as a RADIUS client.
  120.  
  121.  
  122.      3.2.  Purpose
  123.  
  124.      As described in[1], there are now at least four services  implementing
  125.      dialup  roaming, and the number of Internet Service Providers involved
  126.  
  127.  
  128.  
  129.      Aboba                                                         [Page 2]
  130.  
  131.  
  132.  
  133.  
  134.  
  135.      INTERNET-DRAFT                                            6 March 1997
  136.  
  137.  
  138.      in roaming consortia is increasing rapidly.
  139.  
  140.      In order to be able to offer roaming capability, one of  the  require-
  141.      ments is to be able to identify the user's home authentication server.
  142.      For use in roaming, this function is accomplished via the NAI  submit-
  143.      ted by the user to the NAS in the initial PPP authentication.
  144.  
  145.      This  document  proposes  syntax  and  semantics  for  the  NAI. It is
  146.      expected that this will be of interest for support of roaming as  well
  147.      as tunneling.  For example, references [5] and [6] refer to use of the
  148.      NAI in determining the tunnel endpoint. However, these  references  do
  149.      not  provide  guidelines  for  how  RADIUS  or tunnel routing is to be
  150.      accomplished. In order to avoid the  possibility  of  conflicting  and
  151.      non-interoperable implementations, references [7] and [8] describe how
  152.      RADIUS and tunneling protocols may be integrated. This  document  pro-
  153.      vides  guidance  in  the  use  of the NAI that is relevant to both the
  154.      roaming and tunneling communities.
  155.  
  156.  
  157.      4.  Formal Definition of the NAI
  158.  
  159.      As proposed in this specification, the Network Access Identifer is  of
  160.      the  form  user@domain,  where  the domain is a fully qualified domain
  161.      name (FQDN). The syntax for the NAI is independent of the method  used
  162.      to route the authentication.
  163.  
  164.      In  order  to  support the determination of the existence of a roaming
  165.      relationship path between the local ISP and the home  domain,  one  of
  166.      two  methods  may  be  used.  If the number of domains to be served is
  167.      small, then it is possible to provide roaming relationship information
  168.      via  the  authentication  proxy  configuration  file. If the number of
  169.      domains to be served is large, then a more scalable mechanism is  rec-
  170.      ommended,  such  as use of the DNS Roaming Relationship (REL) resource
  171.      record, as described in [10]. However, even  if  use  of  the  DNS  is
  172.      enabled, an authentication proxy will typically consult its configura-
  173.      tion file for information on roaming relationships, prior to  retriev-
  174.      ing information via DNS.
  175.  
  176.  
  177.      4.1.  BNF for the NAI
  178.  
  179.      The  grammar for the NAI is given below, using the augmented BNF nota-
  180.      tion described in reference [9].
  181.  
  182.      NAI = USERNAME "@" FQDN
  183.      FQDN =    token "."  token *[ "." token ]
  184.      USERNAME = token
  185.  
  186.      Examples of valid Network Access Identifiers include:
  187.  
  188.           fred@bigco.com
  189.           nancy@howard.edu
  190.  
  191.      Examples of invalid Network Access Identifiers include:
  192.  
  193.  
  194.  
  195.      Aboba                                                         [Page 3]
  196.  
  197.  
  198.  
  199.  
  200.  
  201.      INTERNET-DRAFT                                            6 March 1997
  202.  
  203.  
  204.           bigco
  205.           howard.edu
  206.  
  207.  
  208.      5.  Acknowledgements
  209.  
  210.      Thanks to Glen Zorn of Microsoft for many useful discussions  of  this
  211.      problem space.
  212.  
  213.  
  214.      6.  References
  215.  
  216.      [1]  B. Aboba, J. Lu, J. Alsop, J. Ding.  "Review of Roaming Implemen-
  217.      tations." draft-ietf-roamops-imprev-01.txt, Microsoft, Aimnet,  i-Pass
  218.      Alliance, Asiainfo, January, 1997.
  219.  
  220.      [2]   B.  Aboba,  G. Zorn.  "Dialup Roaming Requirements." draft-ietf-
  221.      roamops-roamreq-03.txt, Microsoft, March, 1997.
  222.  
  223.      [3]  C. Rigney, A. Rubens, W. Simpson, S. Willens.  "Remote  Authenti-
  224.      cation  Dial  In  User Service (RADIUS)." RFC 2058, Livingston, Merit,
  225.      Daydreamer, January, 1997.
  226.  
  227.      [4]  C. Rigney.  "RADIUS Accounting." RFC 2059,  Livingston,  January,
  228.      1997.
  229.  
  230.      [5]  K.  Hamzeh, T. Kolar, M. Littlewood, G. S. Pall, J. Taarud, A. J.
  231.      Valencia, W. Verthein.  "Layer Two Tunneling Protocol -- L2TP." draft-
  232.      ietf-pppext-l2tp-01.txt, Ascend Communications, December, 1996.
  233.  
  234.      [6]  K.  Hamzeh,  G.  S.  Pall,  J. Taarud, W. Verthein, W. A. Little.
  235.      "Point-to-Point  Tunneling  Protocol  --   PPTP."   draft-ietf-pppext-
  236.      pptp-00.txt, Ascend Communications, June, 1996.
  237.  
  238.      [7]  G. Zorn.  "RADIUS Attributes for Tunnel Protocol Support." draft-
  239.      ietf-radius-tunnel-auth-00.txt, Microsoft Corporation, November, 1996.
  240.  
  241.      [8]  B.  Aboba.   "Implementation  of Mandatory Tunneling via RADIUS."
  242.      draft-ietf-radius-tunnel-imp-00.txt, Microsoft Corporation,  February,
  243.      1997.
  244.  
  245.      [9]   R.  Fielding,  et al.  "Hypertext Transfer Protocol - HTTP/1.1."
  246.      draft-ietf-http-v11-spec-07, UC Irvine, August, 1996.
  247.  
  248.      [10] B. Aboba.  "The Roaming Relationship (REL) Resource Record in the
  249.      DNS."  draft-ietf-roamops-dnsrr-02.txt,  Microsoft Corporation, March,
  250.      1997.
  251.  
  252.  
  253.  
  254.      7.  Authors' Addresses
  255.  
  256.      Bernard Aboba
  257.      Microsoft Corporation
  258.  
  259.  
  260.  
  261.      Aboba                                                         [Page 4]
  262.  
  263.  
  264.  
  265.  
  266.  
  267.      INTERNET-DRAFT                                            6 March 1997
  268.  
  269.  
  270.      One Microsoft Way
  271.      Redmond, WA 98052
  272.  
  273.      Phone: 206-936-6605
  274.      EMail: bernarda@microsoft.com
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.      Aboba                                                         [Page 5]
  328.  
  329.  
  330.