home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / aac / aac-minutes-93jul.txt

< prev

next >

Wrap

Text File  |  1993-08-19  |  9KB  |  241 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4. Reported by B. Clifford Neuman/Information Sciences Institute
5.  
6. Minutes of the Authorization and Access Control WG (AAC)
7.  
8. The Authorization and Access Control Working Group met at the July IETF
9. for the first time since the approval of its charter and official
10. inception as a working group.  The preceding three meetings were BOF
11. sessions.
12.  
13. The charter, past minutes, mailing list discussions, and other documents
14. mentioned in these minutes are available by anonymous FTP from
15. prospero.isi.edu in the directory /pub/aac.
16.  
17.  
18. Agenda
19.  
20.  
21.    o Report on approval of the AAC charter.
22.  
23.    o Presentation of a list of restrictions and privilege attributes
24.      needed by applications and existing security systems, and a
25.      proposed method for representing them.
26.  
27.    o Discussion of the intended use of these restrictions by
28.      applications, and the presentation of an Application Program
29.      Interface (API) to provide a simple interface for application
30.      developers.
31.  
32.    o Discussion of the information maintained in the security context.
33.      The security context maintains information about the user that is
34.      used to make authorization decisions.
35.  
36.  
37. Report on the AAC Charter
38.  
39. It was reported that the working group charter was approved by the IESG.
40. Steve Crocker brought up several desires that were raised in the
41. discussion by the IESG. Among these desires is the need for some kind of
42. demonstration of the technology, in particular, integration with
43. possible applications.
44.  
45.  
46. Discussion of Possible Applications (Digression)
47.  
48. Possible applications were discussed.  An early test will be the
49. Prospero Directory Service which already has support for access control
50. lists, and an access control list type reserved for the mechanism
51. developed by the working group.
52.  
53.                                    1
54.  
55.  
56.  
57.  
58.  
59. Another possible application is in support of cross-site, remote
60. execution.  In particular, Tom Hutton is looking for a simple way to
61. specify access controls for data and processing resources distributed
62. across several sites.
63.  
64. File transfer provides a third set of applications.  Steve Crocker
65. pointed out the need for secure file transfer to and between large
66. diverse groups.  This is related to the FTP extension work in the Common
67. Authentication Technology Working Group (CAT) in that those extensions
68. make available to the application the authenticated network identity of
69. the client, and that identity might be used as a basis for authorization
70. decisions.  Some of the Washington University FTP daemon extensions are
71. also of interest here.
72.  
73. A final application that was discussed was network databases.  Daisy
74. Rose mentioned that the Network Database Working Group (NETDATA) has a
75. need for an authorization mechanism that will allow them to determine
76. which remote principals are authorized to access a database, and which
77. local user ID is to apply to such remote accesses.
78.  
79.  
80. How It Will Be Used by Applications
81.  
82. Throughout the discussion of possible applications, the issue of how
83. authorization information would be specified by applications was raised.
84. There seemed to be two classes:  applications that are aware of network
85. identities, and those that are not.
86.  
87. Applications that are not aware of network identities rely on local
88. authorization using local user identities.  A separate mechanism is used
89. to map network identities to local identities.  For such applications,
90. authorization is confined to initially establishing who is authorized to
91. assume a particular identity at the time a connection is initiated.  It
92. is not clear if this is an authentication issue or an authorization
93. issue.
94.  
95. Applications that are aware of network identities make a call to the
96. authorization API for each operation that is to be mediated.  The
97. authorization API will return a yes or no answer, or a list of what the
98. principal can do, based on the principal's network identity.
99.  
100. Access control list entries could identify the type of authentication
101. required, in addition to the name of the principal authorized by an
102. entry.  Sam Sjogren suggested allowing the specification of weaker
103. authentication methods including regular expression matches on network
104. address or hostname and usernames in addition to stronger methods.  This
105. would allow the authorization API to be used with an existing
106. application that does not have support for strong authentication, and
107. would allow easier transition to stronger mechanisms if they are later
108. integrated into the application.
109.  
110. There was a brief discussion about whether an administrative interface
111. to maintain access control lists needs to be defined.  This issue was
112.  
113.                                    2
114.  
115.  
116.  
117.  
118.  
119. defered until it is decided what access control lists and the API for
120. checking authorization will look like.  The definition of an external
121. representation for an access control list should be enough to get
122. started.
123.  
124.  
125. Presentation of Restrictions and Privilege Attributes
126.  
127. A draft list of restrictions was distributed at the meeting.  The list
128. defines some common restrictions that are useful for representing
129. privilege attributes and constraints on the use of credentials in
130. distributed systems.
131.  
132. Several restrictions were discussed.  Sam Sjogren suggested that it
133. might be useful to think of these in terms of the questions who, what,
134. when, where, and how (why is more appropriate for audit than
135. authorization).  With this taxonomy, the restrictions discussed were:
136.  
137.  
138.    o who - for_use_by_principal, for_use_by_group;
139.    o what - local_uid, group_membership, dce_pac, authorized, quota,
140.      netmask;
141.    o when - accept_n_times, authorized_times;
142.    o where - for_use_on_server, limit_restriction, limit_application; and
143.    o how - connection_type (dial-in, hard-wired from a secure area, etc),
144.      application_name.
145.  
146.  
147. Even with this breakdown, there was a great deal of confusion about the
148. difference between the ``who'' restrictions which limit who may exercise
149. the proxy, and the ``what'' restrictions that seem to assert local user
150. IDs and group membership, instead of restrict them.  It is clear from
151. the discussion that the model needs to be refined so that this
152. distinction is more understandable, or replaced so that positive and
153. negative attributes are considered separately.
154.  
155. During discussion after the meeting, some ideas for addressing this
156. confusion were generated.  A revised specification incorporating one of
157. these ideas will be distributed to the mailing list by the third week of
158. August, and it will be decided at that time if the concerns have been
159. addressed.
160.  
161.  
162. Discussion of the Security Context
163.  
164. In the few minutes that remained, Piers McMahon discussed possible
165. information to be included in the security context, a structure that
166. stores information about a principal and is passed as input to the
167. authorization API which uses it, to decide which access control list
168. entries are applicable.  The presentation outlined the security-relevant
169. information about a session maintained by, exported by, or used by
170.  
171.                                    3
172.  
173.  
174.  
175.  
176.  
177. several systems.
178.  
179. The Generic Security Service Application Program Interface (GSS-API)
180. supports authentication and message protection.  Separate authorization
181. mechanisms provide access mediation and enforcement.  The network user
182. identity authenticated by the GSS-API is part of the security context
183. and can be used by the authorization API.
184.  
185. In the OSF Distributed Computing Environment, a set of privileges are
186. added to the security context.  These privileges are securely
187. transmitted in privilege attribute certificates signed using Kerberos.
188. These privileges become part of the security context once validated by
189. the end-server.
190.  
191. The security context for Sesame includes privilege attributes and
192. control attributes that can limit delegation and permissible targets.
193. Max Six includes labels and audit IDs in the security contexts.
194.  
195. Representation of attributes is likely to be needed in a security
196. context used for access control.  It is recommended that the GSS-API
197. security context be extended to include privilege attributes.  John Linn
198. pointed out that if this is done, a set of widely accepted attributes
199. will be needed.
200.  
201. Thanks to Richard Graveman for his notes which were helpful in the
202. preparation of these minutes.
203.  
204.  
205. Attendees
206.  
207. Chris Adie               C.J.Adie@edinburgh.ac.uk
208. Mohammad Alaghebandan    mohammad_alaghebandan@3com.com
209. Luc Boulianne            lucb@cs.mcgill.ca
210. Stefan Braun             smb@cs.tu-berlin.de
211. Stephen Crocker          crocker@tis.com
212. Kurt Dobbins             dobbins@ctron.com
213. Richard Graveman         rfg@ctt.bellcore.com
214. Neil Haller              nmh@thumper.bellcore.com
215. Alton Hoover             hoover@ans.net
216. Thomas Hutton            hutton@opus.sdsc.edu
217. Dale Johnson             dsj@merit.edu
218. Peter Koch               pk@techfak.uni-bielefeld.de
219. Kim Chr.  Madsen         kimcm@ic.dk
220. Clifford Neuman          bcn@isi.edu
221. Mel Pleasant             pleasant@hardees.rutgers.edu
222. Lars Poulsen             lars@cmc.com
223. Robert Reschly           reschly@brl.mil
224. Michael Roe              mrr@cl.cam.ac.uk
225. Daisy Rose               daisy@watson.ibm.com
226. Wolfgang Schneider       schneiw@darmstadt.gmd.de
227. Heiner Schorn            heiner.schorn@umdac.umu.se
228. Sam Sjogren              sjogren@tgv.com
229.  
230.                                    4
231.  
232.  
233.  
234.  
235.  
236. James Zmuda              zmuda@mls.hac.com
237.  
238.  
239.  
240.                                    5
241.