home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / cat / cat-minutes-91jul.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  11KB  |  250 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4.  
5. Reported by John Linn/DEC
6.  
7. CAT Minutes
8.  
9. The Common Authentication Technology Working Group met for two sessions
10. in Atlanta, and held discussions building on the three Internet Drafts
11. issued on behalf of the group in advance of the meeting.  John Linn led
12. a discussion on CAT and GSS-API concepts, and Jeff Schiller and Charlie
13. Kaufman gave presentations on implementations of CAT atop (respectively)
14. Kerberos V5 and SPX mechanisms; slides from these presentations will be
15. submitted along with these minutes for inclusion in the IETF
16. Proceedings.  Representatives from some protocol Working Groups were
17. available to comment on issues related to integration and use of CAT
18. within their protocols.
19.  
20. CAT concepts were generally well received.  Some areas of potential
21. refinement and discussion were raised, and discussions are expected to
22. continue on the CAT mailing list.  One key area of technical discussion
23. was the interrelationship among CAT, underlying mechanisms, and
24. alternative naming architectures; a related area was alternative types
25. of authenticated principals (users, hosts, processes) and means for
26. their distinction.  It was noted that the fact of implementation of a
27. particular mechanism in support of CAT should not be taken as IETF
28. endorsement of the strength of that mechanism.  It was also noted that
29. multiple mechanisms may in principle be incorporated beneath a single
30. GSS-layer implementation, though no such implementations have yet been
31. developed.
32.  
33. Identification of Shared Mechanism
34.  
35. One major discussion topic was the question of how to identify a CAT
36. mechanism which is shared with a peer CAT system.  Options include
37. combinations of negotiation, directory entries, configuration data, and
38. user/caller input; it was agreed that CAT should seek to make suitable
39. determinations internally where possible so as to ease burdens on its
40. callers and to avoid replicating common security-oriented features
41. separately within a variety of caller protocols.  This implies, for
42. example, that CAT callers' requests for the ``default'' mechanism type
43. could result in exchange of tokens in order to resolve a common
44. mechanism; the feasibility of such a scheme warrants investigation.
45. Whenever negotiation is used to establish a mechanism, it should be
46. carried out against an acceptable set defined by configuration data
47. and/or caller input, to prevent blind acceptance of authentication
48. schemes weaker than those intended by a CAT peer.
49.  
50. Naming Issues
51.  
52. As the Internet evolves to a multi-protocol environment, it also evolves
53. to an environment where multiple naming architectures must coexist.
54. Prominent examples include DNS names for hosts, mailbox identifiers for
55. users, and X.500 Distinguished Names.  This variation causes problems in
56.  
57.                                    1
58.  
59.  
60.  
61.  
62.  
63. many areas of technology (and is engendering discussion in several parts
64. of the IETF and the TSIG, as well as other groups), and security is
65. among those bitten.
66.  
67. Since authentication mechanisms typically authenticate principals in
68. conjunction with name forms native to those mechanisms, mismatches are
69. likely to emerge when CAT callers oriented to operation in particular
70. naming environments are served by CAT mechanisms employing different
71. native forms.  It was agreed that CAT would benefit from broader
72. IETF-defined approaches to handle such mismatches; in the interim,
73. mechanism designers will have to anticipate, observe, and provide
74. case-by-case resolutions to specific problems.  In the interests of
75. portability between alternative mechanisms both capable of
76. authenticating a common name format, it was observed to be preferable
77. for identification of the mechanism used to authenticate a name to be
78. carried in a separate parameter rather than being encoded within the
79. name itself.
80.  
81. Mechanism Discussions
82.  
83. (See also presentation slides.)
84.  
85. Jeff Schiller led a discussion on Kerberos GSS-API implementation.  MIT
86. believes that it is appropriate for all services which run as root on a
87. given host to use a common set of verifier credentials in /etc/srvtab;
88. the Athena DISCUSS service has a different identity with credentials in
89. a different file.  Distinction between client and server principals is
90. made based on examination of names.
91.  
92. Jeff also observed that MIT intends to relinquish control of the
93. Kerberos V5 specification (distributed to Internet-Drafts before the
94. meeting) to the CAT Working Group for evolution and standards-track
95. progression, and cited Ted Tso and Cliff Neuman as additional relevant
96. contacts.  A Kerberos V4 specification will also be submitted as an
97. informational RFC.
98.  
99. Charlie Kaufman led a discussion on SPX GSS-API implementation,
100. emphasizing implementors' agreements made in order to enable application
101. portability (though not the broader issue of interoperability) between
102. Kerberos and SPX. Internal names were accepted to be opaque (preserving
103. flexibility for mechanism implementors), although use of a standardized
104. format at this level could offer value if callers were positioned to use
105. the same format across other interfaces besides the GSS-API. The target
106. applications chosen to validate the portability concept were Telnet and
107. rlogin; since DNS-style textual names are native to these applications,
108. conflicts with SPX's use and certification of X.500 DNs needed to be
109. resolved.
110.  
111. Protocol Integration Issues
112.  
113. It was observed that error cases resulting from inability to process a
114. transferred and received token cannot always be reflected to a CAT peer
115. before that peer believes that the context establishment sequence is
116. complete; for CAT callers to be assured that their tokens have been
117.  
118.                                    2
119.  
120.  
121.  
122.  
123.  
124. successfully processed on receipt, mutual authentication must be
125. performed.  Error-indicating tokens received after context establishment
126. is complete can still be processed, by being passed to a different
127. primitive (process_context_token).  It was observed that it might be
128. preferable to incorporate more messages in mechanisms' context
129. establishment sequences so that COMPLETE status is never returned before
130. positive acknowledgment by the peer.  No conclusive decision was made on
131. this issue.
132.  
133. The Telnet Working Group plans to issue the Telnet authentication option
134. as an experimental RFC; it was anticipated that migration to CAT as an
135. additional Telnet-visible type (which would likely supplant other
136. Telnet-visible type indicators over time) would be appropriate.
137. Terminal servers cannot be assumed to maintain configuration data
138. corresponding to arbitrary ``walk-up'' users, so raise special issues
139. with regards to integration with user interfaces and CAT infrastructure.
140.  
141. The Network Printing Working Group is seeking to employ CAT. Discussion
142. indicated that different types of authentication semantics (users,
143. hosts, daemon processes) would be most appropriate in different
144. circumstances; unfortunately, prioritized needs for the different
145. alternatives were not available.
146.  
147. Possible CAT applications arise in the Network News Transport Protocol
148. (NNTP). Primary requirement areas raised at the CAT meeting include
149. host-granularity authentication for sessions between NNTP peers and
150. user-granularity authentication for individuals associated with NNTP
151. newsreaders.  Ted Tso is engaging in additional discussion with the NNTP
152. group regarding potential CAT usage.
153.  
154. The LIST group may wish to employ CAT-based authentication for those
155. cases where list maintenance commands are transferred across on-line
156. connections rather than within messages.
157.  
158. Possible Extension Areas
159.  
160. Various candidate CAT extension areas were discussed, and are likely to
161. be discussed further on the CAT mailing list.
162.  
163. Means for provision of long-term signature capabilities were considered
164. only briefly, in part because of unclear requirements for
165. non-repudiation services outside the messaging paradigm.  The following
166. observations were noted:
167.  
168.  
169.   1. Since such signatures are intended to be validatable over an
170.      extended period and by other than the single peer associated with a
171.      context, such extensions are not well suited to modeling via the
172.      Quality-of-Protection (QOP) parameters to existing GSS-API
173.      per-message protection primitives,
174.  
175.   2. That alternative primitives might utilize common credentials, and
176.  
177.  
178.  
179.                                    3
180.  
181.  
182.  
183.  
184.  
185.   3. That long-term signature capabilities would not likely be portable
186.      to other than public-key mechanisms.
187.  
188.  
189. Interest was expressed in making the set of intermediary entities which
190. had been involved in a CAT authentication visible to a caller,
191. presumably by providing means to extract such a name list from a
192. context's data structures.  It was unclear whether callers would be
193. likely to make use of such a list in a mechanism-independent manner.
194.  
195. We also discussed the idea of an overlay veneer
196. (``init_sec_context_stream()'') to provide CAT with a communications
197. path over which to pass tokens rather than returning the tokens for
198. caller manipulation and transfer, an extension facility which could
199. simplify integration of CAT-based authentication into certain caller
200. protocols.  Such an overlay would be analogous to Kerberos's send_auth
201. interface; follow-up mailing list discussion is anticipated.
202.  
203.  
204. David Bolen
205. David Borman             dab@cray.com
206. Stephen Crocker          crocker@tis.com
207. Peter Deutsch
208. James Ellis              jte@cert.sei.cmu.edu
209. Arlan Finestead          arlanf@ncsa.uiuc.edu
210. James Galvin             galvin@tis.com
211. Joe Godsil               jgodsil@ncsa.uiuc.edu
212. Russ Hobby               rdhobby@ucdavis.edu
213. Alton Hoover
214. Ken Jones                konkord!ksj@uunet.uu.net
215. Charles Kaufman          kaufman@dsmail.enet.dec.com
216. Peter Kirstein           kirstein@cs.ucl.ac.uk
217. Dale Land                land@lanl.gov
218. Eliot Lear               lear@turbo.bio.net
219. John Linn                linn@zendia.enet.dec.com
220. Louis Mamakos            louie@ni.umd.edu
221. Ellen McDermott          emcd@osf.org
222. Glenn McGregor           ghm@merit.edu
223. Clifford Neuman          bcn@isi.edu
224. Oscar Newkerk            newkerk@decwet.enet.dec.com
225. Richard Parker           rp@mbunix.mitre.org
226. Geir Pedersen            geir.pedersen@use.uio.no
227. Mel Pleasant             pleasant@hardees.rutgers.edu
228. P. Rajaram               rajaram@sun.com
229. Michael Reilly           reilly@nsl.dec.com
230. Jan Michael Rynning      jmr@nada.kth.se
231. Jeffrey Schiller         jis@mit.edu
232. Robert Shirey            shirey@mitre.org
233. Mark Sleeper             mws@sparta.com
234. Mark Stein               marks@eng.sun.com
235. Brad Strand              bstrand@cray.com
236. Glenn Trewitt            trewitt@nsl.dec.com
237. Theodore Tso
238. Preston Wilson           preston@i88.isc.com
239.  
240.                                    4
241.  
242.  
243.  
244.  
245.  
246.  
247.  
248.  
249. 5
250.