home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / nasreq / nasreq-minutes-92nov.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  12.4 KB  |  307 lines
  1. Editor's Note: Minutes received 12/21/92
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6. Reported by John Vollbrecht/Merit
  7.  
  8. Minutes of the Network Access Server Requirements Working Group (NASREQ)
  9.  
  10. The NASREQ Working Group met on Wednesday afternoon at the Washington
  11. IETF meeting.  Allan Rubens chaired the meeting.  Allan announced that
  12. John Vollbrecht would be acting as co-Chair for the Group.  Note that
  13. the mail Group for this has a new alias <nas-req@merit.edu> in addition
  14. to the old <auth-acct@merit.edu>
  15.  
  16. Agenda
  17.  
  18.  
  19.    o Discuss the NAS Proposed Requirements Document (Internet-Draft).
  20.    o Go over Jesse Walker's comments on the draft.
  21.    o Plan next steps.
  22.  
  23.  
  24. Discussion of NAS Proposed Requirements Document
  25.  
  26. Copies of the draft NAS requirements were available at the session.
  27. John Vollbrecht talked through the main points.  A major change of focus
  28. between the draft and the previous draft is that the current draft
  29. considers the NAS to be a router which supports temporary connections to
  30. a net rather than as a terminal server which also supports framed
  31. access.
  32.  
  33. Terminal support in a NAS (if available) is provided by a Character
  34. Stream client (e.g., Telnet) that converts the character stream to
  35. framed output.  The output of the Character Stream client is then input
  36. to the router.
  37.  
  38. The major thrust of the NASREQ Working Group is to define support
  39. requirements for systems providing temporary connections to a network.
  40. The main requirements were seen to be:
  41.  
  42.  
  43.   1. (Mutual) authentication of NAS and user.
  44.  
  45.   2. Per user configuration of ports on the NAS and/or per user
  46.      authorization of user for network access.
  47.  
  48.   3. Per user session record keeping.
  49.  
  50.  
  51. Some discussion of the NAS model took place.  Jeff Schiller asked if the
  52. ability to have character stream terminal sessions authenticate without
  53. sending passwords in the clear was being considered by this Working
  54. Group.  The response was that so far this had been outside the area
  55. being considered, but perhaps could be included if standards for this
  56.  
  57.                                    1
  58.  
  59.  
  60.  
  61.  
  62.  
  63. are developed.
  64.  
  65. There was some question of the need to authenticate for access to the
  66. network at all.  Presumably hosts and servers can demand authentication
  67. if they need to know who is using their system, and to monitori and
  68. control scarce resources (modems and phone lines).  The response was
  69. that the NAS would authenticate in order to know who is using it.  It is
  70. a special server that provides access to the network.  Network providers
  71. use it to give their clients access to their network.  A NAS may use the
  72. same or different authentication methods (and servers) as a file or
  73. print server.
  74.  
  75. A good deal of discussion of authorization and per user configuration
  76. took place.  The issue of whether the NAS would screen access to other
  77. services on the network was discussed.  The concept in the draft
  78. document is that the NAS only controls NAS functions, and other hosts
  79. need to screen themselves.  If one views what is required in NAS
  80. authorization as per user port configuration, then the concept becomes
  81. clearer.  A user connects, gets authenticated, then has its port set up
  82. according to the user's preconfigured requirements.
  83.  
  84. The authentication and authorization must be supported by (possibly)
  85. remote servers.  A set of NAS's would be able to be authorized by a set
  86. of authorization servers.  Bill Simpson asked if this was aimed at
  87. ultimately supporting a situation where a user could connect to a NAS on
  88. one network and get authenticated and authorized by another (connected)
  89. network.  Indeed this is one of the goals.
  90.  
  91. Some discussion of two approaches to multiple domain authorization took
  92. place.  The first is a hierarchical approach where each NAS goes to a
  93. specific server (or backup).  The server then talks with other servers
  94. if necessary to get authorization.
  95.  
  96. The second is to have the NAS contact different authentication and
  97. authorization servers itself.  This might be driven by having the user
  98. identify the server for the NAS to use as part of the connection
  99. sequence.  This could be useful where a number of sites have independent
  100. authentication and configuration/authorization server.  Both methods
  101. should be investigated.
  102.  
  103. Authentication Issues
  104.  
  105. The NAS provides access to the network to which the authentication
  106. server is connected.  The user and authentication server must
  107. communicate before the user is formally connected to the NAS. This
  108. requirement means that the NAS must provide a capability at connection
  109. time for this communication to happen.  Two possible approaches were
  110. discussed.
  111.  
  112.  
  113.   1. The user-NAS dialog includes PAP or some other sequence that
  114.      provides an id/password combination.  The NAS would then take the
  115.      password/id and go to an authentication server (e.g., Kerberos) on
  116.  
  117.                                    2
  118.  
  119.  
  120.  
  121.  
  122.  
  123.      behalf of the user.  It was pointed out that authentication will
  124.      need to be done before the NAS knows the IP address of the user.
  125.      This is because the IP address assignment may be based on the user
  126.      id.  It may be necessary to use a ``temporary'' ip address during
  127.      the authentication phase.
  128.  
  129.   2. The user-NAS dialog would use CHAP. In this case the NAS does not
  130.      receive the id/password, so the most it seems is possible would be
  131.      to have it act as a CHAP forwarder.  The NAS would forward messages
  132.      between the user and a remote CHAP server.
  133.  
  134.  
  135. In both these cases some additional issues need to be worked out.  In
  136. the first case a question is whether the response from the
  137. authentication server will reach the user.  The user would presumably
  138. get a ``ticket'' which it then passes to the NAS to request access.
  139. Alternatively the NAS could act as proxy for the user, which might be
  140. better in general since the user doesn't then need to support Kerberos
  141. or whatever authentication protocol is used.
  142.  
  143. In the second case the question is how does the NAS get informed of the
  144. result of the CHAP exchange if all it does is act as a forwarding agent.
  145. Clearly it will need to interpret some of the exchange as well as
  146. forward so that it will know if the authentication succeeded.  It may be
  147. that the remote CHAP server will need to have extensions to the protocol
  148. defined to allow it to communicate with the NAS as well as the user.
  149.  
  150. Authorization/per User Configuration Issues
  151.  
  152. Per user configuration requires that the port to which a user is
  153. attached be configured from that user's predefined setup.  For the
  154. general case the port could be configured with route filters, an IP or
  155. other protocol address, static routes, routing protocols supported, and
  156. anything else that is needed to configure a router port.
  157.  
  158. Authorization is implied by the configuration.  Route filters act as
  159. restrictions, static routes are specific authorizations.  In the
  160. discussion of how this fits in with the model of the Authorization and
  161. Access Control Group, Cliff Neuman suggested that this could be
  162. considered as a single ACL for network access with restrictions
  163. (filters) to provide finer grain control.  The alternative would be to
  164. have an ACL for each address or network reachable via the NAS - a
  165. potentially very large number for a NAS connected to the Internet.
  166.  
  167. Accounting Issues
  168.  
  169. It would be good to use the work done by the Internet Accounting (ACCT)
  170. Working Group as the basis for what is required in a NAS. A couple of
  171. issues need to be sorted out to be sure this is workable.
  172.  
  173. The ACCT Group does not seem to have a well described way to handle
  174. multiple sessions on the same port.  This may be possible, but it needs
  175.  
  176.                                    3
  177.  
  178.  
  179.  
  180.  
  181.  
  182. to be worked out.
  183.  
  184. The method for collecting information being proposed by the ACCT Working
  185. Group is to use SNMP to query for information stored.  The definition of
  186. MIB for multiple sessions per port needs to be clarified.  It would seem
  187. reasonable to consider alternatives to SNMP (like an rpc) for passing
  188. accounting information to the remote collector.
  189.  
  190. Review of Jesse Walker's Comments
  191.  
  192. Allan went over a number of issues raised in Jesse's comments.  We
  193. thought it was important to air these issues at this meeting to get
  194. input from others before making changes to the Requirements draft.
  195. Also, since many of the issues raised deal with the question of focus
  196. for this Working Group, it was beneficial to raise these issues in order
  197. to solicit input from the Group on directions that should be taken.
  198. Jesse's message containing the issues and a response generated by John
  199. are available in the auth-acctg archives.  The resolution of the raised
  200. issues will be incorporated in the next Requirements draft, to the best
  201. of our ability.  A few of the major points of contention are described
  202. briefly next.
  203.  
  204. One of the issues raised was that security ultimately hinges upon secure
  205. loading and configuration of the NAS itself and this is not an issue
  206. being addressed as yet.  There was no consensus as to what to do about
  207. this problem.  It is definitely not within the bounds of this WG to
  208. solve this problem, but we should incorporate any solution as a NAS
  209. requirement.
  210.  
  211. As far as Kerberos being sufficient to handle security, it may help but
  212. it doesn't completely solve the problem.  As discussed above, it may be
  213. used with PAP, but it doesn't seem to be useful with CHAP.
  214.  
  215. The issue of how long an authentication is valid was said to be a matter
  216. of policy, not an issue of concern to this Group.  This is probably
  217. true, but it brings up a related matter - the issue of how to deal with
  218. inactive PPP sessions tying up NAS resources.  This needs further
  219. discussion.
  220.  
  221. The issue of a ``reliable'' transport mechanism for the collection of
  222. accounting information was brought up.  It was explained that
  223. ``reliable'' was not intended to mean absolutely fail-safe, rather it
  224. meant that a best-effort mechanism was needed so that
  225. accounting/auditing information was not frequently lost.  The NAS
  226. document will be modified to make this clear.
  227.  
  228. Date and timestamping of accounting needs to optional as it requires
  229. clock sync mechanism.  Again, this is not really the case because we're
  230. only talking about times corresponding within ``reasonable'' limits.
  231. The document will be changed to clarify this.
  232.  
  233. The topic of Account limits was also discussed.  One thing that was
  234. clear from this discussion was that this shouldn't just be written off
  235.  
  236.                                    4
  237.  
  238.  
  239.  
  240.  
  241.  
  242. as being beyond the scope of the Group or of being a policy matter - at
  243. least not without further discussion.
  244.  
  245. Plans for Future Action
  246.  
  247. We discussed a number of possible next steps.
  248.  
  249. Allan and John agreed to clean up the NAS document and resubmit it as an
  250. Internet-Draft.  The changes will reflect discussion of the document and
  251. of Walker's specific comments.
  252.  
  253. We would like to have more detailed requirements for how the NAS will do
  254. authentication.  The PAP/Kerberos and CHAP/CHAP cases both should be
  255. defined in more detail.  A number of people expressed some interest in
  256. this but no specific plan was made to do something.
  257.  
  258. The configuration/authorization issues need further work.  A specific
  259. proposal for how to manage per user configuration is needed.  No
  260. specific plan for this was initiated.
  261.  
  262. Finally, there needs to be some work with the ACCT Working Group to
  263. define how specific requirements for the NAS will fit.  Some of the ACCT
  264. Group members showed a lot of interest in working on this, and John and
  265. Allan will follow up with them to come up with a proposal for inclusion
  266. in the NAS Requirements document.
  267.  
  268. Attendees
  269.  
  270. Jim Barnes               barnes@xylogics.com
  271. Daniel Brennan           dmb@teleoscom.com
  272. Vickie Brown             brown@osi540sn.gsfc.nasa.gov
  273. J. Nevil Brownlee        nevil@aukuni.ac.uz
  274. Richard Fisher           rfisher@cdhf1.gsfc.nasa.gov
  275. Barbara Fraser           byf@cert.org
  276. James Galvin             galvin@tis.com
  277. Ken Hirata               khirata@emulex.com
  278. Nat Howard               nrh@bellcore.com
  279. Miriam Kadansky          mckadansky@eng.xyplex.com
  280. John Linn                linn@erlang.enet.dec.com
  281. Joshua Littlefield       josh@cayman.com
  282. Steven Lunt              lunt@bellcore.com
  283. Mohammad Mirhakkak       mmirhakk@mitre.org
  284. Clifford Neuman          bcn@isi.edu
  285. Hilarie Orman            ho@cs.arizona.edu
  286. Brad Parker              brad@fcr.com
  287. Drew Perkins             ddp@andrew.cmu.edu
  288. Joseph Ramus             ramus@nersc.gov
  289. Allan Rubens             acr@merit.edu
  290. Jeffrey Schiller         jis@mit.edu
  291. Tim Seaver               tas@concert.net
  292. William Simpson          Bill.Simpson@um.cc.umich.edu
  293. Brad Steinka             brad@microcom.com
  294.  
  295.  
  296.                                    5
  297.  
  298.  
  299.  
  300.  
  301.  
  302. John Vollbrecht          jrv@merit.edu
  303.  
  304.  
  305.  
  306.                                    6
  307.