home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / nasreq / nasreq-minutes-94mar.txt < prev   
Text File  |  1994-06-04  |  8KB  |  176 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by John Vollbrecht/Merit Network and Allan Rubens/Merit Network
  5.  
  6. Minutes of the Network Access Server Requirements Working Group
  7. (NASREQ)
  8.  
  9. The NAS Requirements Working Group met on Tuesday 29 March.
  10.  
  11. The meeting was divided into two parts:  the first hour was devoted to
  12. going over the draft NASREQ document, discussing the radius protocol
  13. specification revisions done since the last IETF, and discussing the
  14. NAC/NAS authentication requirements that have been passed off to the
  15. PPPEXT Working Group for implementation.
  16.  
  17. During the second hour there was discussion of distributed
  18. authentication, authorization and accounting (AAA) for network access
  19. servers (NASs).  There was considerable interest in forming a new
  20. working group to come up with a requirements document, and perhaps an
  21. API or protocol to support a distributed AAA architecture for a NAS.
  22.  
  23. The NASREQ Working Group will disband after this meeting.  The NASREQ
  24. draft will be updated to reflect changes discussed at the meeting and
  25. additional changes submitted as a result of the meeting.  The draft will
  26. be submitted as an Internet-Draft sometime before the Toronto IETF.
  27.  
  28. Dave Carrel and John Vollbrecht will take the lead in discussing and
  29. possibly drafting a charter for a new working group oriented to NAS
  30. interfaces to authentication, authorization and accounting services.
  31.  
  32.  
  33. NASREQ Document Discussion
  34.  
  35. Bob Morgan suggested that NASREQ might be a chapter in a Router
  36. Requirements document.  It was noted that there are unique things in
  37. NAS's and that the document has turned out to be more a list of
  38. wished-for standards than what might be considered ``requirements.''
  39. The document was reviewed and volunteers were solicited to clean up or
  40. add sections, as noted below.
  41.  
  42.  
  43.    o It was agreed that PPP auto-dection should be required.  There
  44.      should be a pointer to the write-up in the PPP document that
  45.      describes how to do this.  There is some trickiness to auto-baud.
  46.  
  47.    o A non-disclosing pw for both PPP and character stream is needed.
  48.      Cliff Neuman agreed to rewrite section 4.1.3 to include this.
  49.  
  50.    o The group decided that mutual authentication is not a requirement
  51.      now, but at some point in a few years it may become required.
  52.  
  53.    o PPP must support IP. It may support IPX, AppleTalk, etc.  Nevil
  54.      Brownlee agreed to modify section 4.1.5 to make this clear.
  55.  
  56.    o There was discussion about filtering on user ID (there is none in
  57.      packets, so it really meant filtering on session).  Marco
  58.      Hernanadez agreed to rewrite section 4.1.7.
  59.  
  60.    o Routing protocols were discussed and it was decided that these were
  61.      not unique to NAS. The use of standard routing protocols as
  62.      required should be encouraged.
  63.  
  64.    o SNMP support requirements were discussed.  SNMP should be
  65.      supported.  A modem MIB would be nice, as well as some accounting
  66.      and ``huntgroup'' utilization support.  Chris Gressley volunteered
  67.      to rewrite the SNMP section.
  68.  
  69.    o Some discussion of whether caller ID should be discussed.  Peter
  70.      Phillips volunteered to write up a caller ID section.
  71.  
  72.    o NAS-helper interface has been removed from the document as the NAS
  73.      and helper are seen different pieces of NAS internal implementation
  74.      and are vendor design choice.  Interfaces to the combination are
  75.      more appropriately subject to standards requirements.
  76.  
  77.  
  78. Radius Protocol
  79.  
  80. Carl Rigney talked about the Radius protocol.  An Internet-Draft was
  81. available in paper form and is now in the Internet-Drafts directories.
  82. A range of attributes have been added for ``experimental'' options.  He
  83. solicited accounting requirements.  There was some discussion on whether
  84. public key support for signing messages could be implemented.  Carl was
  85. open to that but wanted more direction on how it should be done.
  86.  
  87. A number of people have been working on Radius and the protocol; the
  88. hope is that it will continue to evolve.  Code is freely available from
  89. Livingston.
  90.  
  91.  
  92. Distributed Authentication
  93.  
  94. John Vollbrecht presented a set of diagrams showing how distributed
  95. authentication and authorization could be architected.  Figure 1 showed
  96. the problem with distributed NASs wanting to authenticate a user at the
  97. user's home authentication database---which may not be the
  98. authentication database supported at the institution that runs the NAS.
  99. Figures 2 and 3 show alternate ways to route messages.  The preferred
  100. way is that shown in Figure 3, with a public key registry containing
  101. public keys for the AAServer as well as its IP address.
  102.  
  103. Figure 4 adds a helper, but is otherwise the same as Figure 1.  Figure 5
  104. shows multiple NASs supported by a set of helpers, and getting AAServer
  105. connection information from a registry as in Figure 3.  The last figure
  106. shows the interfaces between NAS and helper and between helper and
  107. AAServer.  The group agreed that the NAS-helper interface was not to be
  108. standardized but the interface to authentication, authorization and
  109. accounting servers could be, and that other working groups of the IETF
  110. were working on such standards.  There was a consensus that it would be
  111. good to push on this architecture to provide input to the other working
  112. groups.
  113.  
  114. Dave Carrel proposed that we attack the interface by defining a set of
  115. APIs that could be coded to by NAS vendors in their product and by
  116. AAServer implementors.  It was pointed out that Marshall Rose was not
  117. supportive of standardizing APIs.  Others suggested that a protocol
  118. would be a better thing to standardize anyway.  The API approach seemed
  119. more likely to be something that vendors could agree to support.  The
  120. point was made that defining what is required in the API would go a long
  121. way to defining what is required in a protocol, and that making progress
  122. toward such a definition would be difficult and worthwhile whether the
  123. formal goal was APIs or a protocol(s).
  124.  
  125. There was general agreement that we should pursue a new working group,
  126. using the NASREQ mailing list for discussion of a possible charter.
  127.  
  128.  
  129. Attendees
  130.  
  131. Susie Armstrong          susie@mentat.com
  132. Jim Barnes               barnes@xylogics.com
  133. Perkins Bass             bass@eskimo.com
  134. Kym Blair                kdblair@dockmaster.ncsc.mil
  135. Stephen Bowman           srb@nwnet.net
  136. Henry Clark              henryc@oar.net
  137. Cheri Dowell             cdowell@atlas.arc.nasa.gov
  138. Robert Enger             enger@seka.reston.ans.net
  139. Warwick Ford             wford@cnr.ca
  140. Jerome Freedman          jfjr@mbunix.mitre.org
  141. Chris Gorsuch            chrisg@lobby.ti.com
  142. Richard Graveman         rfg@ctt.bellcore.com
  143. Dragan Grebovich         dragan@bnr.ca
  144. Christine Gressley       gressley@uiuc.edu
  145. Richard Harris           rharris@atc.boeing.com
  146. Marco Hernandez          marco@cren.net
  147. Marc Horowitz            marc@security.ov.com
  148. Jeff Hughes              jeff@col.hp.com
  149. Jim Hughes               hughes@network.com
  150. Jan-Olof Jemnemo         Jan-Olof.Jemnemo@intg.telia.se
  151. Bent Jensen              bent@cisco.com
  152. Robert Karsten           robert@lachman.com
  153. Charlie Kaufman          kaufman@zk3.dec.com
  154. Hiroshi Kawazoe          kawazoe@trl.ibm.co.jp
  155. Sun-Kwan Kimn            sunkimn@cup.hp.com
  156. Paul Lambert             paul_lambert@email.mot.com
  157. John Linn                linn@security.ov.com
  158. Joshua Littlefield       josh@cayman.com
  159. Bill Mar                 bmar@cac.washington.edu
  160. Michael Michnikov        mbmg@mitre.org
  161. Richard Moore            moorerr@msu.edu
  162. Bob Morgan               morgan@networking.stanford.edu
  163. Kenneth Mueller          ken@cmc.com
  164. Brad Parker              brad@fcr.com
  165. Alan Perelman            a_perelman@emulex.com
  166. Peter Phillips           pphillip@cs.ubc.ca
  167. Michael Ressler          mpr@ctt.bellcore.com
  168. Carl Rigney              cdr@livingston.com
  169. Chris Seabrook           cds@ossi.com
  170. William Simpson          bsimpson@morningstar.com
  171. Shirley Sun              suns@centrum.com
  172. John Vollbrecht          jrv@merit.edu
  173. Dale Walters             walters@osi3.ncsl.nist.gov
  174. Shian-Tung Wong          shian@dcsd.sj.nec.com
  175.  
  176.