home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / 92nov / aac-minutes-92nov.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  14KB  |  342 lines

---

1. Editor's Note: Minutes received 12/11/92
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6.  
7. Reported by Clifford Neuman/USC
8.  
9. Minutes of the Authorization and Access Control BOF (AAC
10.  
11. Agenda
12.  
13.  
14.   1. Discuss strawman of Charter (to be distributed at meeting).
15.  
16.      (a) Discuss possible goals of the Working Group.
17.           o Common mechanism for specifying local access control
18.             information.
19.           o Improving interoperability for distributed authorization
20.             mechanisms.
21.           o Others
22.      (b) Evaluate each in terms of whether sufficient experience exists,
23.          or whether we would be premature in our efforts.
24.      (c) Select achievable goals and prepare a timetable.
25.      (d) Agree on mechanics for preparation and approval of Charter.
26.  
27.  
28.   2. For the goals selected in 1b.
29.  
30.      (a) Discuss approaches and alternatives
31.      (b) Assign work item to prepare strawman
32.  
33.  
34.   3. For common mechanisms to specify access control information .
35.  
36.      (a) Discuss strawman (to be distributed at meeting).
37.  
38.  
39.   4. Any other business.
40.  
41.  
42. Overview
43.  
44. The second meeting of a BOF on Authorization and Access Control met at
45. the November IETF. The purpose of the BOF was to organize a Working
46. Group to address authorization and access control issues for the
47. Internet.  The discussion was centered primarily around two issues:
48.  
49.  
50.   1. Development of a Charter and Milestones for the Working Group.
51.   2. Initial work to develop an application programmer interface (API)
52.      supporting authorization.
53.  
54.                                    1
55.  
56.  
57.  
58.  
59.  
60. Though not discussed in depth at this meeting, the Group is also
61. concerned with mechanisms for distributed authorization on the Internet.
62.  
63. Charter and Goals of the Group
64.  
65. A draft Charter for the Working Group was distributed at the meeting.
66. The Charter had been sent to the mailing list a day earlier and was made
67. available by FTP for remote participants at the meeting.  The first goal
68. of the Working Group will be to develop a common mechanism for
69. specifying access control information that will work well with
70. distributed authentication mechanisms that are becoming available.  The
71. Working Group will also examine evolving mechanisms and architectures
72. for authorization in distributed systems and to establish criteria that
73. enable interworking of confidence and trust across systems and to
74. encourage the evolution of (or develop ourselves) credential formats
75. that more readily allow support for or translation across multiple
76. mechanisms.
77.  
78. A timetable for these deliverables was discussed.  There seemed to be
79. agreement that we should move rapidly toward developing a common
80. mechanism for specifying access control information.  Clifford Neuman
81. will submit a draft API for discussion prior to the March IETF. By the
82. July IETF we hope to have examples of its use for selected applications,
83. and the goal is to submit the specification of the API to the IESG by
84. next November.
85.  
86. There was considerably less agreement on the timetable for work on
87. distributed authorization mechanisms.  The original timetable was less
88. specific for work on distributed authorization mechanisms, initially
89. exploring the area, trying not to constrain evolving implementations
90. until more experience is gained.  Several attendees, in particular Steve
91. Crocker and Bill Simpson, felt that we should develop our own protocol
92. and credential formats before incompatible mechanisms arise.  There was
93. no resolution on this issue, and it will be discussed further at the
94. next meeting.  Piers McMahon will submit specifications for DCE
95. authorization, particularly with respect to proposed enhancements from
96. SESAME for DCE. Clifford Neuman will submit additional information on
97. authorization through restricted proxies.
98.  
99. As part of the discussion, a question was raised about whether the
100. output of the Group would be a protocol.  Our work on the API will not
101. result in a protocol, instead it will yield a common mechanism for
102. making authorization decisions based on authentication information
103. obtained through other protocols (application protocols, and
104. authentication and authorization protocols).  The work on distributed
105. authorization mechanisms, however, would result in a protocol or at
106. least a common credential format to be used by other protocols.  Even
107. before distributed authorization mechanism are in place the API together
108. with existing authentication protocols (e.g., CAT) would allow the
109. retrieval and evaluation of fine-grained access control information
110. allowing access by specific principals not previously registered (in
111. terms of having an account) on a server.
112.  
113.  
114.                                    2
115.  
116.  
117.  
118.  
119.  
120. During discussion of the API, Piers McMahon suggested that the scope of
121. the API should support the specification of delegated principal
122. identifiers, though the mechanism for delegation would be the subject of
123. subsequent work.  Richard Graveman suggested that the mechanism should
124. support the specification of groups.  Mechanism to certify membership in
125. groups would be the subject of the distributed authorization work, but
126. the specification of required group membership does belong in any access
127. control list mechanism, and this should be part of the API.
128.  
129. Steve Lunt pointed out that the naming of principals is an important
130. issue that must be addressed by the API. Steve Crocker pointed out that
131. the need for a common naming mechanism is a problem that the IAB is
132. aware of, but that we shouldn't expect such a mechanism to be in place
133. soon, we must support the multiple existing mechanisms for now.  John
134. Linn pointed out that the GSSAPI exports names tagged with a type and
135. provides a function to compare two names for equality, and that that
136. mechanism may be sufficient for our needs.
137.  
138. Piers McMahon asked about the scope of our mechanism.  Is it to be
139. Internet specific, or is it to extend beyond the Internet?  The answer
140. was that we would like it to be universal, but to the extent that making
141. it so adds complexity or hinders progress we should restrict it to the
142. Internet.  In any event, we will look at mechanisms and APIs developed
143. in other contexts, including DCE and Posix.
144.  
145. Comments on Charter should be sent to ietf-aac@isi.edu.  After a couple
146. weeks for discussion, the Charter will be submitted for approval by
147. Steve Crocker (the Security Area Director) and the IAB.
148.  
149. Authentication Requirements
150.  
151. After discussion of the Charter, Neil Haller spoke about an
152. Internet-Draft he and Randall Atkinson submitted on Internet
153. Authentication Requirements.  The draft discusses authentication
154. requirements and guidelines for different applications.  The mechanisms
155. covered include simple password mechanisms, non-disclosing passwords,
156. Kerberos, DASS, and CAT.
157.  
158. It is not clear which working group is best for discussion of this
159. document.  It was felt that in general that this work item fits best
160. under the Common Authentication Technology (CAT) Working Group and John
161. Linn indicated his willingness to take it on as a separate work item for
162. the CAT Group.  Some issues, in particular how authentication
163. requirements interact with authorization mechanisms used by particular
164. applications (the login application was presented as an example) should
165. be considered in this (AAC) Group.
166.  
167. Neil Haller did not receive many comments when the Internet-Draft was
168. first submitted to the INET-AUTH list.  He will resubmit it to the CAT
169. list in hope that CAT will provide the input required.
170.  
171. Authorization and Access Control API
172.  
173.  
174.                                    3
175.  
176.  
177.  
178.  
179.  
180. The next topic of discussion was an API for access control.  A strawman
181. outline was distributed and made available to remote participants.  The
182. strawman called for a function:
183.  
184.  
185.  
186.      answer = check_acl(id,(object/acl/multiple_acl),operation)
187.  
188.  
189.  
190. and each input and output was discussed.  The first item of discussion
191. was the ID structure.  In the strawman:
192.  
193.  
194.  
195.      id = user and/or group identification from distributed
196.      authentication mechanisms and future authorization mechanisms.
197.      We should support the passing of multiple identifiers to
198.      support user and group and to support ACL entries naming
199.      compound principals (i.e., two principals must be present to
200.      perform an operation).
201.  
202.  
203.  
204. John Linn suggested that perhaps there should be separate inputs for the
205. clients identity and other authorization credentials.  It was felt that
206. this was a bad idea.  It was resolved that there should be a single
207. identifier if at all possible, that this identifier might be a GSSAPI
208. security context, and that the security context might need to be
209. extended to include addition information as required.
210.  
211.  
212.  
213.      object/acl/multiple_acl = a reference or identifier for the
214.      object to be accessed, or a reference to a specific access
215.      control list associated with the object.  Multiple acl's might
216.      be necessary for example if an acl is associated with both a
217.      directory and an object within the directory.
218.  
219.  
220.  
221. The topic of discussion here was whether one names an object whose ACL
222. is to be checked, or pass the ACL itself.  In either case there is an
223. abstraction violation.  In one case the application must manage ACLs so
224. that they may be passed to the API. In the other case, the code
225. implementing the API many require knowledge about the application.
226.  
227. Steve Lunt suggested that the each ACL should be named, and that the
228. application would decide how to map the object into the name of the
229. appropriate ACL. The name of the ACL might be simply the name of the
230. object.  If a system wide authorization database is shared by more than
231. one application, it would be important to make sure that no name
232. conflicts arise.
233.  
234.                                    4
235.  
236.  
237.  
238.  
239.  
240.      operation = a list of those operations to be performed, or more
241.      precisely a list of those rights needed to perform the
242.      requested operation.
243.  
244.  
245. The issue here was whether the operation should be passed as input and
246. checked by the API returning a yes/no answer , or whether the API should
247. return the operations allowed and let the application decide.  The
248. resolution is that we should support two calls, one that returns the
249. rights and one that checks them returning yes or no.
250.  
251. Sam Sjorgen suggested support for VMS/Tops-20 style enabling and
252. disabling of capabilities during the checking of rights.  Unfortunately,
253. it is not clear how such a capability would work in a distributed
254. environment.  In particular, the rights that are enabled are simply
255. those passed to the server, and checked by the API. Disabled rights
256. would not be visible to the process checking for access.
257.  
258.  
259.      answer = A yes/no response indicating whether the operation is
260.      allowed, and optionally a list of restrictions to be applied by
261.      the application.  Applications that don't require or can't
262.      interpret restrictions in a response would not have an
263.      authorization database that provides them.  Thus if you don't
264.      need this functionality, your ACL mechanism doesn't need to
265.      support it.  If your ACL mechanism does return a restriction
266.      that the application can't understand the response will be
267.      treated as not authorized.
268.  
269.  
270. Discussion on this topic centered around the use of restrictions.  Does
271. the use of restrictions place too great a burden on the application to
272. understand what they mean?  Some restrictions, for example time of day,
273. are relatively common and could be interpreted by the code implementing
274. the API, but some are inherently application specific and could not be
275. interpreted by the code implementing the API.
276.  
277. Bill Simpson raised the network access server as an example of an
278. application that could use the API. He wants a mechanism that they can
279. put in their boxes.  Restrictions for the network access server might be
280. an address mask restricting where a user can connect.  John Linn asked
281. what the objects are that are being protected.  The answer is network
282. addresses to which one can connect.  Clifford Neuman pointed out that
283. the restrictions allow one to specify ACLs for fewer objects.  For the
284. same fine-grained control without restrictions, one would specify an ACL
285. for each address (or at least each subnet).  With restrictions, one has
286. a single ACL with an application restriction that provides finer grained
287. control.  Whether an application choose to use restrictions is a design
288. decision, we should not make the decision for them.
289.  
290. Piers McMahon asked whether we had considered existing APIs for access
291. control.  Posix was looked at, but it is not suited to distributed
292.  
293.                                    5
294.  
295.  
296.  
297.  
298.  
299. principals not previously registered as users on a system.  Piers asked
300. if we had considered the OSF API for access control.  The answer was no,
301. since we were not aware of it.  Conditioned on obtaining OSF approval to
302. do so, Piers will submit a copy of the OSF access control API to the
303. list.
304.  
305. To Proceed
306.  
307.  
308.    o Comments on the Charter should be sent to ietf-aac@isi.edu.
309.    o The Charter will be submitted for approval in the next few weeks.
310.    o The ACL API will be refined.  Discussion will take place on the
311.      ietf-aac mailing list.
312.    o Addition information on authorization in DCE, ECMA, and using
313.      restricted proxies will be submitted to the list by Piers McMahon
314.      and Clifford Neuman.
315.  
316.  
317.  
318. Attendees
319.  
320. Vickie Brown             brown@osi540sn.gsfc.nasa.gov
321. Richard Fisher           rfisher@cdhf1.gsfc.nasa.gov
322. Barbara Fraser           byf@cert.org
323. Shari Galitzer           shari@mitre.org
324. Richard Graveman         rfg@ctt.bellcore.com
325. Thomas Hacker            hacker@citi.umich.edu
326. Neil Haller              nmh@thumper.bellcore.com
327. Ken Hirata               khirata@emulex.com
328. David Katinsky           dmk@rutgers.edu
329. John Linn                linn@erlang.enet.dec.com
330. Steven Lunt              lunt@bellcore.com
331. Clifford Neuman          bcn@isi.edu
332. Tu Nguyen                Nguyen1T@cc.ims.disa.mil
333. Rakesh Patel             patel@noc.rutgers.edu
334. Tim Seaver               tas@concert.net
335. William Simpson          Bill.Simpson@um.cc.umich.edu
336. Sam Sjogren              sjogren@tgv.com
337. Chuck Warlick            warlick@theophilis.nsfc.nasa.gov
338.  
339.  
340.  
341.                                    6
342.