home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / 92jul / aac-minutes-92jul.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  13KB  |  291 lines

---

1. Editor's Note:  Minutes received 7/31
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6. Reported by Clifford Neuman/ISI
7.  
8. Minutes of the Authorization and Access Control BOF (AAC)
9.  
10. The first meeting of a new BOF on Authorization and Access Control met
11. at the July IETF. The purpose of the BOF was to discuss authorization
12. and access control issues for the Internet.  The discussion centered
13. around two problems:  first, the need for a uniform method for
14. specifying access control information, and second on services and
15. mechanisms for distributing authorization in the Internet.
16.  
17. Agenda
18.  
19.  
20.    o Discussion of requirements for the specification of access control
21.      information.
22.  
23.    o Discussion of existing and evolving distributed authorization
24.      mechanisms including:  DCE, DSSA, ECMA, Sesame, and Proxies.
25.  
26.    o Discussion of the relationship between this Group and the Common
27.      Authentication Technology Working Group.
28.  
29.    o Discussion of our goals.
30.  
31.  
32. Discussion
33.  
34. The first two items were related and discussion flowed from one into the
35. other and back again.  The need for a uniform method of specifying
36. access control information for distributed applications was discussed.
37.  
38. One of the motivations for such an interface is to interact with the
39. network authentication methods that are evolving.  Such methods identify
40. the subject accessing a service, but service specific methods are then
41. needed to decide whether the subject is authorized access.  Most
42. existing applications do not presently maintain the information needed
43. to make such decisions.
44.  
45. In the near future, application developers will have a common interface
46. (the GSSAPI) that they can use to add strong authentication to their
47. applications.  That solves only half the problem.  Ideally there would
48. also be a common set of tools that they can use to decide whether the
49. subject is authorized access.
50.  
51. The general consensus was that our work in this area should concentrate
52. on access control lists as a conceptual model.  Some of the distributed
53. authorization mechanisms (described later) enable that model to support
54. a full spectrum of access control methods including capabilities.
55.  
56.                                    1
57.  
58.  
59.  
60.  
61.  
62. Support for these mechanisms should be considered for inclusion in the
63. model.
64.  
65. It was mentioned that work has gone on in POSIX and elsewhere to specify
66. access control list mechanism for Unix.  It was felt that we should
67. consider such work, and build upon rather than replace it, but that we
68. must support the needs of network applications.
69.  
70. An access control list (ACL) can be associated with objects to be
71. protected.  The ACL contains entries that identify subjects, either as
72. individuals, or as members of groups.  The entries specify the rights of
73. the named subject to access the protected object.  One point of
74. contention was whether each distinct right for an object (read, write,
75. execute, etc.)  should be represented by a separate ACL (i.e., column in
76. the access matrix), or an ACL should be associated with each object with
77. the entries within the ACL specifying the rights.  The two are
78. equivalent, and consensus was that a single ACL per object was the
79. preferred choice.  It was also felt that in general the meaning of
80. rights in an ACL entry would be application specific (interpreted by the
81. server), but that the meaning of certain rights, in particular the
82. ability to modify the ACL, should be common across all ACLs.
83.  
84. One extension to the ACL concept important for use on the Internet is
85. that the identification of the subject should also identify the
86. authentication method (or set of acceptable methods) to be used in
87. identifying the subject.  This is important because of the varying
88. strengths of alternative authentication methods, and perhaps more
89. importantly because the methods might not share a common name space for
90. principals.  There was very little discussion on this topic and any
91. decisions here can await further work on the security model and access
92. control abstractions.
93.  
94. A less straightforward extension is the addition of an optional field to
95. each ACL entry that would allow restrictions of the authorization to be
96. specified.  Examples of restrictions include time of use, the need for
97. additional authentication or authorization (e.g., a co-signer), etc.
98.  
99. Steve Crocker pointed out that the mechanism and abstraction must be
100. simple and easy to understand in the common case, a sentiment with which
101. everyone agreed.  It was also felt, however, that in the ideal case the
102. mechanism would also be flexible enough to support the needs of most
103. applications, so that developers would not be forced to design their own
104. mechanisms.
105.  
106. It was felt that our goals in this area should be to:
107.  
108.  
109.   1. Identify the target applications from which to draw requirements
110.      (e.g., Mailing lists, files, login, X windows).
111.  
112.   2. Identify the security models to be supported (e.g., We might
113.      consider discretionary access control, mandatory access control,
114.      capabilities, access control lists, etc.).
115.  
116.  
117.                                    2
118.  
119.  
120.  
121.  
122.  
123.   3. Work out the appropriate access control abstractions.
124.  
125.   4. Consider an application programmer interface (API) to support those
126.      abstractions (consider POSIX, DCE, our own, etc.).
127.  
128.  
129. A final issue raised concerned whether our model needed to support the
130. needs of licensing and accounting mechanisms.  It was felt that we
131. should keep such mechanism in mind, but that it was premature to
132. consider them as an integral part of our current work.
133.  
134. The second phase of the meeting concentrated on the evolving mechanisms
135. and architectures for authorization in distributed systems.  This phase
136. consisted of informal presentations of some of the mechanisms.
137.  
138. Joe Pato described the authorization mechanism used by OSF's Distributed
139. Computing Environment.  Authorization in DCE is based on privilege
140. attribute certificates issued by a privilege server.  These certificates
141. are restricted Kerberos tickets (see restricted proxies described later)
142. that specify the UID and groups to which a principal belongs.  The
143. privilege attribute certificate is then used by the principal to assert
144. its membership in groups, and its UID. The DCE also supports an
145. extensible ACL model for distributed systems based on and extending that
146. in the POSIX draft.  Authorization is a combination of privilege
147. attributes and control attributes (e.g., ACLs).  Support for delegation
148. is being considered, further exploiting the ability to construct
149. restricted proxies.
150.  
151. John Linn then described the authorization mechanisms that are part of
152. the Digital Distributed System Security Architecture (DSSA). One key
153. aspect of the DSSA is that authorization credentials are pulled by the
154. server, rather than pushed by the client, though the client provide's
155. hints suggesting which credentials should be pulled.  A second aspect of
156. the DSSA is that reduced authorization can be granted by establishing a
157. new role, a new principals with reduced privileges.  The DSSA supports
158. delegation with identifiable intermediaries, but delegation is of all
159. rights possessed by a particular role.
160.  
161. Piers McMahon then outlined the main features of the ECMA TC32/TG9
162. Security Architecture.  The ECMA model is that a trusted authentication
163. service authenticates subjects using a suitable authentication method,
164. and that a logically separate privilege attribute server (PAS) grants
165. privileges (e.g., identity, role, group, capability, clearance) to that
166. subject.  The privilege acquisition is constrained by the level to which
167. the subject is authenticated - but is independent of the authentication
168. method.  The privileges are cryptographically protected by the PAS and
169. returned in a data element called a Privilege Attribute Certificate
170. (PAC), and are sent (pushed) by the security subject to target systems
171. to inform access control decisions.  Methods for protection of PACs,
172. together with controls on their use and delegation are defined by
173. current ECMA work.
174.  
175. Piers then described SESAME. Some background information was given to
176.  
177.  
178.                                    3
179.  
180.  
181.  
182.  
183.  
184. explain that SESAME is a phased project based on ECMA TC32/TG9 work.
185. Phase 1 produced a prototype which showed that the basic model was
186. feasible.  Phase 2 is building on this to develop product-level
187. distributed security infrastructure with support for dialogue protection
188. and DCE-interworking.  An outline of the SESAME Phase 2 architecture was
189. given to show how it built on the ECMA architecture, and a brief
190. walkthrough of the privilege acquisition protocol was presented.  It was
191. stated that SESAME Phase 2 supports a subset of the full ECMA privilege
192. attributes (identity, role, group), and a profile of ECMA PAC protection
193. and controls.
194.  
195. Next, Clifford Neuman described restricted proxies.  A restricted proxy
196. can be implemented on top of an authentication mechanism by issuing
197. authentication credentials authorizing a second party (the grantee) to
198. act as the issuer for the purpose of performing a restricted set of
199. operations, under specific conditions.  These restrictions are supported
200. by Kerberos V5 in the authorization data field.  It was then described
201. how restricted proxies can be used to implement a range of authorization
202. mechanisms from capabilities, to authorization and group servers, and
203. how restricted proxies might interact with the access control list
204. mechanisms described earlier.
205.  
206. The next topic of discussion was how these mechanism might be used by
207. applications.  In particular, might it be appropriate to develop a
208. common API within which they might fit.  If so, might this API become
209. part of the common authentication technology (GSSAPI) so that the
210. programmer only need deal with one mechanism, instead of two.
211.  
212. Finally, we discussed the possibility of convergence of the various
213. approaches.  Some of the approaches are still in their early stages, and
214. it would be helpful if we could encourage, for example, a common
215. certificate structure across mechanisms.  However, some of the
216. mechanisms, in particular DCE, are further along, and significant
217. changes would present problems.  In any event, where possible, we should
218. try to promote fewer protocols and message formats.
219.  
220. It was felt that our immediate goals in the distributed authorization
221. area should be:
222.  
223.  
224.   1. To look for common characteristics among the mechanisms.
225.   2. Decide on a course of action.  The range of possibilities include
226.      encouraging the use of a common credential format, developing other
227.      interoperability mechanism, defining a common API, and unifying the
228.      protocols.
229.  
230.  
231. Finally, It was felt that work is needed in the area of authorization
232. and access control, and that the Group should continue to meet.  As a
233. potential working group, we must:
234.  
235.  
236.    o Decide what the product of the working group would be.
237.    o Develop a set of goals and milestones.
238.  
239.                                    4
240.  
241.  
242.  
243.  
244.  
245.    o Write a Charter.
246.  
247.  
248. It was felt that we should refine the Group's objectives through the
249. mailing list.  If we can develop a Charter in time for the next IETF, we
250. can form a working group.  If not, we should meet again as a second BOF,
251. part of the purpose of which will be to agree on a Charter.
252.  
253. A mailing list has been set up, ietf-aac@ISI.EDU. Requests for addition
254. or deletion should be sent to ietf-aac-request@ISI.EDU.
255.  
256. Attendees
257.  
258. Derek Atkins             warlord@thumper.bellcore.com
259. Tony Ballardie           a.ballardie@cs.ucl.ac.uk
260. Doug Barlow              barlow@decwet.dec.com
261. Mark Baushke             mdb@cisco.com
262. David Borman             dab@cray.com
263. Geetha Brown             geetha@decvax.dec.com
264. Stephen Crocker          crocker@tis.com
265. Tom Farinelli            tcf@tyco.ncsc.mil
266. Barbara Fraser           byf@cert.org
267. Maria Gallagher          maria@nsipo.nasa.gov
268. Neil Haller              nmh@thumper.bellcore.com
269. John Linn                linn@erlang.enet.dec.com
270. Ellen McDermott          emcd@osf.org
271. P.V. McMahon             p.v.mcmahon@rea0803.wins.icl.co.uk
272. Cyndi Mills              cmills@nnsc.nsf.net
273. Clifford Neuman          bcn@isi.edu
274. Brad Passwaters          bjp@sura.net
275. Allan Rubens             acr@merit.edu
276. Gregory Ruth             gruth@bbn.com
277. Paul Sangster            sangster@ans.net
278. Jeffrey Schiller         jis@mit.edu
279. Robert Shirey            shirey@mitre.org
280. Jeremy Siegel            jzs@nsd.3com.com
281. Sam Sjogren              sjogren@tgv.com
282. Simon Spero              ses@cmns.think.com
283. Theodore Ts'o            tytso@mit.edu
284. John Vollbrecht          jrv@merit.edu
285. Jesse Walker             walker@eider.lkg.dec.com
286. Peter Williams           p.williams@uk.ac.ucl.cs
287.  
288.  
289.  
290.                                    5
291.