home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / cat / cat-minutes-91jul.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  10.5 KB  |  250 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4.  
  5. Reported by John Linn/DEC
  6.  
  7. CAT Minutes
  8.  
  9. The Common Authentication Technology Working Group met for two sessions
  10. in Atlanta, and held discussions building on the three Internet Drafts
  11. issued on behalf of the group in advance of the meeting.  John Linn led
  12. a discussion on CAT and GSS-API concepts, and Jeff Schiller and Charlie
  13. Kaufman gave presentations on implementations of CAT atop (respectively)
  14. Kerberos V5 and SPX mechanisms; slides from these presentations will be
  15. submitted along with these minutes for inclusion in the IETF
  16. Proceedings.  Representatives from some protocol Working Groups were
  17. available to comment on issues related to integration and use of CAT
  18. within their protocols.
  19.  
  20. CAT concepts were generally well received.  Some areas of potential
  21. refinement and discussion were raised, and discussions are expected to
  22. continue on the CAT mailing list.  One key area of technical discussion
  23. was the interrelationship among CAT, underlying mechanisms, and
  24. alternative naming architectures; a related area was alternative types
  25. of authenticated principals (users, hosts, processes) and means for
  26. their distinction.  It was noted that the fact of implementation of a
  27. particular mechanism in support of CAT should not be taken as IETF
  28. endorsement of the strength of that mechanism.  It was also noted that
  29. multiple mechanisms may in principle be incorporated beneath a single
  30. GSS-layer implementation, though no such implementations have yet been
  31. developed.
  32.  
  33. Identification of Shared Mechanism
  34.  
  35. One major discussion topic was the question of how to identify a CAT
  36. mechanism which is shared with a peer CAT system.  Options include
  37. combinations of negotiation, directory entries, configuration data, and
  38. user/caller input; it was agreed that CAT should seek to make suitable
  39. determinations internally where possible so as to ease burdens on its
  40. callers and to avoid replicating common security-oriented features
  41. separately within a variety of caller protocols.  This implies, for
  42. example, that CAT callers' requests for the ``default'' mechanism type
  43. could result in exchange of tokens in order to resolve a common
  44. mechanism; the feasibility of such a scheme warrants investigation.
  45. Whenever negotiation is used to establish a mechanism, it should be
  46. carried out against an acceptable set defined by configuration data
  47. and/or caller input, to prevent blind acceptance of authentication
  48. schemes weaker than those intended by a CAT peer.
  49.  
  50. Naming Issues
  51.  
  52. As the Internet evolves to a multi-protocol environment, it also evolves
  53. to an environment where multiple naming architectures must coexist.
  54. Prominent examples include DNS names for hosts, mailbox identifiers for
  55. users, and X.500 Distinguished Names.  This variation causes problems in
  56.  
  57.                                    1
  58.  
  59.  
  60.  
  61.  
  62.  
  63. many areas of technology (and is engendering discussion in several parts
  64. of the IETF and the TSIG, as well as other groups), and security is
  65. among those bitten.
  66.  
  67. Since authentication mechanisms typically authenticate principals in
  68. conjunction with name forms native to those mechanisms, mismatches are
  69. likely to emerge when CAT callers oriented to operation in particular
  70. naming environments are served by CAT mechanisms employing different
  71. native forms.  It was agreed that CAT would benefit from broader
  72. IETF-defined approaches to handle such mismatches; in the interim,
  73. mechanism designers will have to anticipate, observe, and provide
  74. case-by-case resolutions to specific problems.  In the interests of
  75. portability between alternative mechanisms both capable of
  76. authenticating a common name format, it was observed to be preferable
  77. for identification of the mechanism used to authenticate a name to be
  78. carried in a separate parameter rather than being encoded within the
  79. name itself.
  80.  
  81. Mechanism Discussions
  82.  
  83. (See also presentation slides.)
  84.  
  85. Jeff Schiller led a discussion on Kerberos GSS-API implementation.  MIT
  86. believes that it is appropriate for all services which run as root on a
  87. given host to use a common set of verifier credentials in /etc/srvtab;
  88. the Athena DISCUSS service has a different identity with credentials in
  89. a different file.  Distinction between client and server principals is
  90. made based on examination of names.
  91.  
  92. Jeff also observed that MIT intends to relinquish control of the
  93. Kerberos V5 specification (distributed to Internet-Drafts before the
  94. meeting) to the CAT Working Group for evolution and standards-track
  95. progression, and cited Ted Tso and Cliff Neuman as additional relevant
  96. contacts.  A Kerberos V4 specification will also be submitted as an
  97. informational RFC.
  98.  
  99. Charlie Kaufman led a discussion on SPX GSS-API implementation,
  100. emphasizing implementors' agreements made in order to enable application
  101. portability (though not the broader issue of interoperability) between
  102. Kerberos and SPX. Internal names were accepted to be opaque (preserving
  103. flexibility for mechanism implementors), although use of a standardized
  104. format at this level could offer value if callers were positioned to use
  105. the same format across other interfaces besides the GSS-API. The target
  106. applications chosen to validate the portability concept were Telnet and
  107. rlogin; since DNS-style textual names are native to these applications,
  108. conflicts with SPX's use and certification of X.500 DNs needed to be
  109. resolved.
  110.  
  111. Protocol Integration Issues
  112.  
  113. It was observed that error cases resulting from inability to process a
  114. transferred and received token cannot always be reflected to a CAT peer
  115. before that peer believes that the context establishment sequence is
  116. complete; for CAT callers to be assured that their tokens have been
  117.  
  118.                                    2
  119.  
  120.  
  121.  
  122.  
  123.  
  124. successfully processed on receipt, mutual authentication must be
  125. performed.  Error-indicating tokens received after context establishment
  126. is complete can still be processed, by being passed to a different
  127. primitive (process_context_token).  It was observed that it might be
  128. preferable to incorporate more messages in mechanisms' context
  129. establishment sequences so that COMPLETE status is never returned before
  130. positive acknowledgment by the peer.  No conclusive decision was made on
  131. this issue.
  132.  
  133. The Telnet Working Group plans to issue the Telnet authentication option
  134. as an experimental RFC; it was anticipated that migration to CAT as an
  135. additional Telnet-visible type (which would likely supplant other
  136. Telnet-visible type indicators over time) would be appropriate.
  137. Terminal servers cannot be assumed to maintain configuration data
  138. corresponding to arbitrary ``walk-up'' users, so raise special issues
  139. with regards to integration with user interfaces and CAT infrastructure.
  140.  
  141. The Network Printing Working Group is seeking to employ CAT. Discussion
  142. indicated that different types of authentication semantics (users,
  143. hosts, daemon processes) would be most appropriate in different
  144. circumstances; unfortunately, prioritized needs for the different
  145. alternatives were not available.
  146.  
  147. Possible CAT applications arise in the Network News Transport Protocol
  148. (NNTP). Primary requirement areas raised at the CAT meeting include
  149. host-granularity authentication for sessions between NNTP peers and
  150. user-granularity authentication for individuals associated with NNTP
  151. newsreaders.  Ted Tso is engaging in additional discussion with the NNTP
  152. group regarding potential CAT usage.
  153.  
  154. The LIST group may wish to employ CAT-based authentication for those
  155. cases where list maintenance commands are transferred across on-line
  156. connections rather than within messages.
  157.  
  158. Possible Extension Areas
  159.  
  160. Various candidate CAT extension areas were discussed, and are likely to
  161. be discussed further on the CAT mailing list.
  162.  
  163. Means for provision of long-term signature capabilities were considered
  164. only briefly, in part because of unclear requirements for
  165. non-repudiation services outside the messaging paradigm.  The following
  166. observations were noted:
  167.  
  168.  
  169.   1. Since such signatures are intended to be validatable over an
  170.      extended period and by other than the single peer associated with a
  171.      context, such extensions are not well suited to modeling via the
  172.      Quality-of-Protection (QOP) parameters to existing GSS-API
  173.      per-message protection primitives,
  174.  
  175.   2. That alternative primitives might utilize common credentials, and
  176.  
  177.  
  178.  
  179.                                    3
  180.  
  181.  
  182.  
  183.  
  184.  
  185.   3. That long-term signature capabilities would not likely be portable
  186.      to other than public-key mechanisms.
  187.  
  188.  
  189. Interest was expressed in making the set of intermediary entities which
  190. had been involved in a CAT authentication visible to a caller,
  191. presumably by providing means to extract such a name list from a
  192. context's data structures.  It was unclear whether callers would be
  193. likely to make use of such a list in a mechanism-independent manner.
  194.  
  195. We also discussed the idea of an overlay veneer
  196. (``init_sec_context_stream()'') to provide CAT with a communications
  197. path over which to pass tokens rather than returning the tokens for
  198. caller manipulation and transfer, an extension facility which could
  199. simplify integration of CAT-based authentication into certain caller
  200. protocols.  Such an overlay would be analogous to Kerberos's send_auth
  201. interface; follow-up mailing list discussion is anticipated.
  202.  
  203.  
  204. David Bolen
  205. David Borman             dab@cray.com
  206. Stephen Crocker          crocker@tis.com
  207. Peter Deutsch
  208. James Ellis              jte@cert.sei.cmu.edu
  209. Arlan Finestead          arlanf@ncsa.uiuc.edu
  210. James Galvin             galvin@tis.com
  211. Joe Godsil               jgodsil@ncsa.uiuc.edu
  212. Russ Hobby               rdhobby@ucdavis.edu
  213. Alton Hoover
  214. Ken Jones                konkord!ksj@uunet.uu.net
  215. Charles Kaufman          kaufman@dsmail.enet.dec.com
  216. Peter Kirstein           kirstein@cs.ucl.ac.uk
  217. Dale Land                land@lanl.gov
  218. Eliot Lear               lear@turbo.bio.net
  219. John Linn                linn@zendia.enet.dec.com
  220. Louis Mamakos            louie@ni.umd.edu
  221. Ellen McDermott          emcd@osf.org
  222. Glenn McGregor           ghm@merit.edu
  223. Clifford Neuman          bcn@isi.edu
  224. Oscar Newkerk            newkerk@decwet.enet.dec.com
  225. Richard Parker           rp@mbunix.mitre.org
  226. Geir Pedersen            geir.pedersen@use.uio.no
  227. Mel Pleasant             pleasant@hardees.rutgers.edu
  228. P. Rajaram               rajaram@sun.com
  229. Michael Reilly           reilly@nsl.dec.com
  230. Jan Michael Rynning      jmr@nada.kth.se
  231. Jeffrey Schiller         jis@mit.edu
  232. Robert Shirey            shirey@mitre.org
  233. Mark Sleeper             mws@sparta.com
  234. Mark Stein               marks@eng.sun.com
  235. Brad Strand              bstrand@cray.com
  236. Glenn Trewitt            trewitt@nsl.dec.com
  237. Theodore Tso
  238. Preston Wilson           preston@i88.isc.com
  239.  
  240.                                    4
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249. 5
  250.