home *** CD-ROM | disk | FTP | other *** search
/ Internet Surfer 2.0 / Internet Surfer 2.0 (Wayzata Technology) (1996).iso / pc / text / mac / faqs.339 < prev    next >
Encoding:
Text File  |  1996-02-12  |  27.8 KB  |  594 lines
  1. Frequently Asked Questions (FAQS);faqs.339
  2.  
  3.  
  4.  
  5. Ordinary splits occur when the company distributes more stock to holders
  6. of existing stock.  A stock split, say 2-for-1, is when a company simply
  7. issues two shares for every one outstanding.  If the stock was at $50
  8. per share, after the split, each share is worth $25, because the company's
  9. net assets didn't increase, only the number of outstanding shares.
  10.  
  11. Sometimes an ordinary split is referred to as a percent.  A 2:1 split is
  12. a 100% stock split (or 100% stock dividend).   A 50% split would be a 3:2
  13. split (or 50% stock dividend).  You will get 1 more share of stock for
  14. every 2 shares you owned.
  15.  
  16. Reverse splits occur when a company wants to raise the price of their
  17. stock, so it no longer looks like a "penny stock" but looks more like a
  18. self-respecting stock.  Or they might want to conduct a massive reverse
  19. split to eliminate small holders.  If a $1 stock is split 1:10 the new
  20. shares will be worth $10.  Holders will have to trade in their 10 Old
  21. Shares to receive 1 New Share.
  22.  
  23. Often a split is announced long before the effective date of the split,
  24. along with the "record date."   Shareholders of record on the record
  25. date will receive the split shares on the effective date (distribution
  26. date). Sometimes the split stock begins trading as "when issued" on or
  27. about the record date.   The newspaper listing will show both the pre-
  28. split stock as well as the when-issued split stock with the suffix "wi."
  29. (Stock dividends of 10% or less will generally not trade wi.)
  30.  
  31. Theoretically a stock split is a non-event.  The fraction of the company
  32. each of your shares represents is reduced, but you are given enough
  33. shares so that your total fraction of the company owned remains the same.
  34. On the day of the split, the value of the stock is also adjusted so that
  35. the total capitalization of the company remains the same.
  36.  
  37. In practice, an ordinary split often drives the new price per share up,
  38. as more of the public is attracted by the lower price.  A company might
  39. split when it feels its per-share price has risen beyond what an individual
  40. investor is willing to pay, particularly since they are usually bought
  41. and sold in 100's.  They may wish to attract individuals to stabilize the
  42. price, as institutional investors buy and sell more often than individuals.
  43.  
  44. -----------------------------------------------------------------------------
  45.  
  46. Subject: Ticker Tape Terminology
  47. From: capskb@alliant.backbone.uoknor.edu, nfs@cs.princeton.edu
  48.  
  49. Ticker tape says:        Translation (but see below):
  50.         NIKE68 1/2            100 shares sold at 68 1/2
  51.      10sNIKE68 1/2           1000 shares sold at   "
  52.  10.000sNIKE68 1/2          10000 shares sold at   "
  53.  
  54. The extra zeroes for the big trades are to make them stand out.  All
  55. trades on CNN and CNBC are delayed by 15 minutes.  CNBC once advertised
  56. a "ticker guide pamphlet, free for the asking", back when they merged
  57. with FNN.  It also has explanations for the futures they show.
  58.  
  59. However, the first translation is not necessarily correct.  CNBC has
  60. a dynamic maximum size for transactions that are displayed this way.
  61. Depending on how busy things are at any particular time, the maximum
  62. varies from 100 to 5000 shares.  You can figure out the current maximum
  63. by watching carefully for about five minutes.  If the smallest number
  64. of shares you see in the second format is "10s" for any traded security,
  65. then the first form can mean anything from 100 to 900 shares.  If the
  66. smallest you see is "50s" (which is pretty common), the first form
  67. means anything between 100 and 4900 shares.
  68.  
  69. Note that at busy times, a broker's ticker drops the volume figure and
  70. then everything but the last dollar digit (e.g. on a busy day, a trade
  71. of 25,000 IBM at 68 3/4 shows only as "IBM 8 3/4" on a broker's ticker).
  72. That never happens on CNBC, so I don't know how they can keep up with all
  73. trades without "forgetting" a few.
  74.  
  75. -----------------------------------------------------------------------------
  76.  
  77. Subject: Treasury Direct
  78. From: jberlin@falcon.aamrl.wpafb.af.mil
  79.  
  80. You can buy T-Bills directly from the US Treasury.  Contact any Federal
  81. Reserve Bank and ask for information on Treasury Direct.  The minimum
  82. for a Treasury Note (2 years and up) is only $5K and in some instances
  83. (I believe 5 year notes) $1K.  There are no fees and you may elect to
  84. have interest payments made directly to your account.  You even may pay
  85. with a personal check, no need for a cashier's or certified check as
  86. Treasury Bills (1 year and under) required.  AAII Journal had an article
  87. on this a couple of years ago. Like they said, the government service is
  88. great, they just do not advertise it well.
  89.  
  90. -----------------------------------------------------------------------------
  91.  
  92. Subject: Uniform Gifts to Minors Act (UGMA)
  93. From: ask@cbnews.cb.att.com, schindler@csa1.lbl.gov
  94.  
  95. The Uniform Gifts to Minors Act allows you to give $10,000 per year
  96. to any minor, tax free.  You must appoint a custodian.
  97.  
  98. Some accountants advise that one person should make the gift and
  99. that a different person should be the custoidian, but I have never
  100. seen any IRS publication to justify this, nor any tax case ruling
  101. which makes this a problem.  I suspect some people are just being
  102. conservative.
  103.  
  104. To give such a gift, go to your friendly neighborhood stockbroker,
  105. bank, mutual fund manager, or (close your eyes now: S&L), etc. and
  106. say that you wish to open a Uniform Gifts (in some states "Transfers")
  107. to Minors Act account.
  108.  
  109. You register it as:
  110.   [ Name of Custodian ] as custodian for [ Name of Minor ] under the
  111.   Uniform Gifts/Transfers to Minors Act - [ Name of State of Minor's
  112.   residence ]
  113.  
  114. You use the minor's social security number as the taxpayer ID for this
  115. account.  When you fill out the W-9 form for this account, it will
  116. show this form.  The custodian should certify the W-9 form.
  117.  
  118. The money now belongs to the minor and the custodian has a legal
  119. fiduciary responsibility to handle the money in a prudent manner for
  120. the benefit of the minor.
  121.  
  122. So you can buy common stocks but cannot write naked options.  You
  123. cannot "invest" the money on the horses, planning to donate the
  124. winnings to the minor.  And when the minor reaches age of majority -
  125. usually 18 - the minor can claim all of the funds even if that's
  126. against your wishes.  You cannot place any conditions on those funds
  127. once the minor becomes an adult.
  128.  
  129. Until the minor reaches 14, the first $500 earned by the minor is
  130. tax free, the next $500 is taxed at the minor's rate, and the rest
  131. is taxed at the higher of the minor's or the parent's rate.  After
  132. the minor reaches 14, all earnings over $500 are taxed at the
  133. minor's rate.
  134.  
  135. Note that if you want to continue doing your childs taxes even after
  136. they turn 18, there is no reason they need to know about their UGMA
  137. account that you set up for them.  They certainly can't blow their
  138. college fund on a Trans Am if they don't know about it.
  139.  
  140. Even if your child does his/her own taxes, you can still give them
  141. gifts through a trust without them knowing about it until they are
  142. more mature.  Call and ask Twentieth Century Investors for information
  143. about their GiftTrust fund.  The fund is entirely composed of trusts
  144. like this.  The trust pays its own taxes.
  145.  
  146. -----------------------------------------------------------------------------
  147.  
  148. Subject: Warrants
  149. From: ask@cblph.att.com
  150.  
  151. There are many meanings to the word warrant.
  152.  
  153. The marshal can show up on your doorstep with a warrant for your arrest.
  154.  
  155. Many army helicopter pilots are warrant officers, who have received
  156. a warrant from the president of the US to serve in the Army of the
  157. United States.
  158.  
  159. The State of California ran out of money earlier this year and
  160. issued things that looked a lot like checks, but had no promise to
  161. pay behind them.  If I did that I could be arrested for writing a
  162. bad check.  When the State of California did it, they called these
  163. thingies "warrants" and got away with it.
  164.  
  165. And a warrant is also a financial instrument which was issued with
  166. certain conditions.  The issuer of that warrant sets those conditions.
  167. Sometimes the warrant and common or preferred convertible stock are
  168. issued by a startup company bundled together as "units" and at some
  169. later date the units will split into warrants and stock.  This is a
  170. common financing method for some startup companies.  This is the
  171. "warrant" most readers of the misc.invest newsgroup ask about.
  172.  
  173. As an example of a "condition," there may be an exchange privilege
  174. which lets you exchange 1 warrant plus $25 in cash (or even no cash
  175. at all) for 100 shares of common stock in the corporation, any time
  176. after some fixed date and before some other designated date.
  177. (And often the issuer can extend the "expiration date.")
  178.  
  179. So there are some similarities between warrants and call options for
  180. common stock.
  181.  
  182. Both allow holders to exercise the warrant/option before an
  183. expiration date, for a certain number of shares.  But the option is
  184. issued by independent parties, such as a member of the Chicago Board
  185. Options Exchange, while the warrant is issued and guaranteed by the
  186. corporate issuer itself.  The lifetime of a warrant is often
  187. measured in years, while the lifetime of a call option is months.
  188.  
  189. Sometimes the issuer will try to establish a market for the warrant,
  190. and even try to register it with a listed exchange.  The price can
  191. then be obtained from any broker.  Other times the warrant will be
  192. privately held, or not registered with an exchange, and the price
  193. is less obvious, as is true with non-listed stocks.
  194.  
  195. -----------------------------------------------------------------------------
  196.  
  197. Subject: Zero-Coupon Bonds
  198. From: ask@cblph.att.com
  199.  
  200. Not too many years ago every bond had coupons attached to it.  Every
  201. so often, usually every 6 months, bond owners would take a scissors
  202. to the bond, clip out the coupon, and present the coupon to the bond
  203. issuer or to a bank for payment.  Those were "bearer bonds" meaning
  204. the bearer (the person who had physical possession of the bond) owned
  205. it.  Today, many bonds are issued as "registered" which means even if
  206. you get to touch the actual bond at all, it will be registered in your
  207. name and interest will be mailed to you every 6 months. It is not too
  208. common to see such coupons. Registered bonds will not generally have
  209. coupons, but may still pay interest each year.  It's sort of like the
  210. issuer is clipping the coupons for you and mailing you a check.  But
  211. if they pay interest periodically, they are still called Coupon Bonds,
  212. just as if the coupons were attached.
  213.  
  214. When the bond matures, the issuer redeems the bond and pays you the
  215. face amount.   You may have paid $1000 for the bond 20 years ago and
  216. you have received interest every 6 months for the last 20 years, and
  217. you now redeem the matured bond for $1000.
  218.  
  219. A Zero-coupon bond has no coupons and there is no interest paid.
  220.  
  221. But at maturity, the issuer promises to redeem the bond at face value.
  222. Obviously, the original cost of a $1000 bond is much less than $1000.
  223. The actual price depends on: a) the holding period -- the number of
  224. years to maturity, b) the prevailing interest rates, and c) the risk
  225. involved (with the bond issuer).
  226.  
  227. Taxes:  Even though the bond holder does not receive any interest while
  228. holding zeroes, in the US the IRS requires that you "impute" an annual
  229. interest income and report this income each year.  Usually, the issuer
  230. will send you a Form 1099-OID (Original Issue Discount) which lists the
  231. imputed interest and which should be reported like any other interest
  232. you receive.  There is also an IRS publication covering imputed interest
  233. on Original Issue Discount instruments.
  234.  
  235. For capital gains purposes, the imputed interest you earned between the
  236. time you acquired and the time you sold or redeemed the bond is added to
  237. your cost basis.  If you held the bond continually from the time it was
  238. issued until it matured, you will generally not have any gain or loss.
  239.  
  240. Zeroes tend to be more susceptible to prevailing interest rates, and
  241. some people buy zeroes hoping to get capital gains when interest rates
  242. drop. There is high leverage.   If rates go up, they can always hold them.
  243.  
  244. Zeroes sometimes pay a better rate than coupon bonds (whether registered
  245. or not).  When a zero is bought for a tax deferred account, such as an
  246. IRA, the imputed interest does not have to be reported as income, so
  247. the paperwork is lessened.
  248.  
  249. Both corporate and municipalities issue zeroes, and imputed interest on
  250. municipals is tax-free in the same way coupon interest on municipals is.
  251. (The zero could be subject to AMT).
  252.  
  253. Some marketeers have created their own zeroes, starting with coupon
  254. bonds, by clipping all the coupons and selling the bond less the coupons
  255. as one product -- very much like a zero -- and the coupons as another
  256. product. Even US Treasuries can be split into two products to form a
  257. zero US Treasury.
  258.  
  259. There are other products which are combinations of zeroes and regular
  260. bonds.  For example, a bond may be a zero for the first five years of
  261. its life, and pay a stated interest rate thereafter.  It will be treated
  262. as an OID instrument while it pays no interest.
  263.  
  264. (Note:  The "no interest" must be part of the original offering; if a
  265. cumulative instrument intends to pay interest but defaults, that does not
  266. make this a zero and does not cause imputed interest to be calculated.)
  267.  
  268. Like other bonds, some zeroes might be callable by the issuer (they are
  269. redeemed) prior to maturity, at a stated price.
  270.  
  271. -----------------------------------------------------------------------------
  272.  
  273. Compiler's Acknowledgements:
  274. My sincere thanks to the many submitters for their efforts.  Also thanks to
  275. Jonathan I. Kamens for his guidance on FAQs and his post_faq perl script.
  276.  
  277. Compilation Copyright (c) 1992 by Christopher Lott, lott@informatik.uni-kl.de
  278. --
  279. Christopher Lott    lott@informatik.uni-kl.de   +49 (631) 205-3334, -3331 Fax
  280. Post: FB Informatik - Bau 57, Universitaet KL, W-6750 Kaiserslautern, Germany
  281. Xref: bloom-picayune.mit.edu comp.protocols.kerberos:1896 news.answers:4614
  282. Newsgroups: comp.protocols.kerberos,news.answers
  283. Path: bloom-picayune.mit.edu!athena.mit.edu!bjaspan
  284. From: bjaspan@athena.mit.edu (Barry Jaspan)
  285. Subject: Kerberos Users' Frequently Asked Questions 1.2
  286. Message-ID: <kerberos-faq/user_724468225@athena.mit.edu>
  287. Followup-To: poster
  288. Summary: This document answers Frequently Asked Questions about the
  289.     Kerberos authentication system.  Read this before you post a
  290.     question to comp.protocols.kerberos or kerberos@athena.mit.edu.
  291. Sender: news@athena.mit.edu (News system)
  292. Supersedes: <kerberos-faq/user_720896226@athena.mit.edu>
  293. Nntp-Posting-Host: bill-the-cat.mit.edu
  294. Organization: Aktis, Inc.
  295. Date: Wed, 16 Dec 1992 01:10:35 GMT
  296. Approved: news-answers-request@mit.edu
  297. Expires: Wed, 13 Jan 1993 01:10:25 GMT
  298. Lines: 549
  299.  
  300. Archive-name: kerberos-faq/user
  301. Version: 1.2
  302.  
  303. Kerberos Users' Frequently Asked Questions
  304. December 15, 1992
  305. Compiled by: Barry Jaspan, <bjaspan@athena.mit.edu>
  306.              Aktis, Inc.
  307.  
  308.      Kerberos; also spelled Cerberus.  "n.  The watch dog of
  309.      Hades, whose duty it was to guard the entrance--against
  310.      whom or what does not clearly appear; .  . . is known to
  311.      have had three heads. . ."
  312.  
  313.         -Ambrose Bierce, The Enlarged Devil's Dictionary
  314.  
  315. This document answers Frequently Asked Questions about the Kerberos
  316. authentication system.  It is freely distributable.  Direct all
  317. responses and questions to bjaspan@athena.mit.edu.  Most of the
  318. information presented here has been collected from postings to the
  319. comp.protocols.kerberos newsgroup (gatewayed to the mailing list
  320. kerberos@athena.mit.edu) and in general credit has not been given;
  321. complain if you feel offended.
  322.  
  323. DISCLAIMER: Aktis, Inc., makes no representations about the
  324. suitability of this information for any purpose.  It is provided "as
  325. is" without express or implied warranty.  In particular, this document
  326. is not intended as legal advice for exporting Kerberos, DES, or any
  327. other encryption software.
  328.  
  329. Please make suggestions and contribute any information that you can.
  330.  
  331. Questions addressed in this release:
  332.     (a * indicates that no answer is currently available)
  333.  
  334. 1.  Kerberos and its Many Incarnations
  335. ----------------------------------------------------------------------
  336.  
  337. (1.1)    What is Kerberos?  What is it good for?
  338. (1.2)    Where can I get Kerberos version 4 or 5?
  339. (1.3)    What is the current status of version 4?
  340. (1.4)    What is the current status of version 5?
  341. (1.5)    Are version 4 and version 5 compatible?
  342. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  343.     Can they interoperate?
  344. (1.7)*    How/why is OSF DCE Kerberos different from MIT Kerberos V5?
  345.     Can they interoperate?
  346. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  347.     Can they interoperate?
  348. (1.9)    What is Bones?  What is it for?
  349.  
  350. 2.  Using and Administering Kerberos
  351. ----------------------------------------------------------------------
  352.  
  353. (2.1)    Can I use Kerberos for local password validation?
  354. (2.2)    What is the export status of Kerberos?
  355. (2.3)    How can I delete a principal from the database?
  356. (2.4)    What are the officially assigned Kerberos port numbers?
  357. (2.5)    Are there Kerberos versions of telnet and ftpd?
  358.     What other Kerberos clients exist?
  359. (2.6)    Why does rlogin print "Warning: No Kerberos tickets obtained"?
  360. (2.7)    What operating systems has Kerberos been ported to?
  361.     What vendors provide commercial support for Kerberos?
  362.  
  363. 3.  Building and Installing Kerberos
  364. ----------------------------------------------------------------------
  365.  
  366. (3.1)    Why do I get an error message from ld when make_commands is
  367.     executed?
  368. (3.2)    Why doesn't KRB5_defs.h exist when I build version 5?
  369.  
  370. 4.  Miscellaneous
  371. ----------------------------------------------------------------------
  372.  
  373. (4.1)    List references for Kerberos and network security in general.
  374. (4.2)    Where are archives of comp.protocols.kerberos (a.k.a
  375.     kerberos@athena.mit.edu)?
  376.  
  377. ======================================================================
  378.  
  379. 1.  Kerberos and its Many Incarnations
  380. ----------------------------------------------------------------------
  381.  
  382. (1.1)    What is Kerberos?  What is it good for?
  383.  
  384. The following is an excerpt from [1]:
  385.  
  386.    Kerberos is a trusted third-party authentication service based on
  387.    the model presented by Needham and Schroeder.[3] It is trusted in
  388.    the sense that each of its clients believes Kerberos' judgement as
  389.    to the identity of each of its other clients to be accurate.
  390.  
  391. [This really isn't a very good description.]
  392.  
  393. It is important to realize that Kerberos is a one-trick pony.  It
  394. provides for mutual authentication between principals on an open
  395. network.  It does not provide a mechanism for authorization; that is
  396. left to the application.  It also does not provide password validation
  397. for individual workstations unless care is taken; see question 2.1.
  398.  
  399. (1.2)    Where can I get Kerberos version 4 or 5?
  400.  
  401. In the United States and Canada (*), Kerberos is available via
  402. anonymous FTP from athena-dist.mit.edu (18.71.0.38).  For specific
  403. instructions, cd to pub/kerberos and get the file README.KRB4 (for
  404. version 4) or README.KRB5_BETA2 (for version 5).  Note that *YOU WILL
  405. NOT BE ABLE TO RETRIEVE KERBEROS WITHOUT READING THIS FILE*.
  406.  
  407. Outside the United States, you can get Bones via anonymous ftp from
  408. ftp.funet.fi (128.214.6.100) in pub/unix/security/kerberos.  A DES
  409. library is available from the same place.  See question 1.9 for
  410. information on Bones.
  411.  
  412. (*) Kerberos and DES can be exported to Canada.  See question 2.2.
  413.  
  414. (1.3)    What is the current status of version 4?
  415.  
  416. With the release of patch level 10 on December 10, 1992, MIT Kerberos
  417. 4 is now in its final form.  MIT does not anticipate ever making a new
  418. Kerberos 4 release.
  419.  
  420. Several vendors provide their own versions of Kerberos which may
  421. contain improvements or extensions; see question 2.7.
  422.  
  423. (1.4)    What is the current status of version 5?
  424.  
  425. A new beta release of MIT Kerberos V5 is available as of September 30,
  426. 1992; see question 1.2.  This release brings MIT's implementation into
  427. full compliance with the current protocol.  It is not backwards
  428. compatible with the previous beta release; according to MIT, this is
  429. the last release that will contain non-backwards compatible changes.
  430.  
  431. (1.5)    Are version 4 and version 5 compatible?
  432.  
  433. No.  Versions 4 and 5 are based on completely different protocols.
  434. The MIT Kerberos V5 distribution contains some compatibility code,
  435. however: (a) there is a library which converts Kerberos V4 library
  436. calls into Kerberos V5 requests, so you can run many V4 programs in a
  437. V5 environment by relinking; (b) the Kerberos server can optionally
  438. service V4 requests; (c) there is a program to convert a V4 format
  439. Kerberos database to a V5 format database.  The names used by the V5
  440. library have a prefix "krb5_" so they do not conflict with the V4
  441. library.
  442.  
  443. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  444.     Can they interoperate?
  445.  
  446. This is a fairly complex question, and my answer is almost guaranteed
  447. to be incomplete.  The issue is regularly discussed on the
  448. info-afs-kerberos@transarc.com mailing list; send mail to the -request
  449. list for subscriptions.
  450.  
  451. Years ago, the designers of AFS decided to implement their own
  452. security system based on the Kerberos specification instead of using
  453. the (then, not yet publicly available) MIT Kerberos V4.  As a result,
  454. Transarc's AFS Kerberos speaks a different protocol but also
  455. understands the MIT Kerberos V4 protocol.  They can, in principal,
  456. talk to each other; however, there are a sufficient number of annoying
  457. details and an insufficient number of advantages such that it may not
  458. be practical.
  459.  
  460. The two versions use a different string-to-key function (the algorithm
  461. that turns a password into a DES key); the AFS version uses the realm
  462. name as part of the computation while the MIT version does not.  A
  463. program that uses a password to acquire a ticket (e.g.  kinit or
  464. login) will only work with one version.
  465.  
  466. The two versions also use a different method of finding Kerberos
  467. servers.  MIT Kerberos uses /etc/krb.conf and /etc/krb.realms to map
  468. hostnames to realms and realms to Kerberos servers.  AFS kaservers for
  469. a realm, by definition, are located on the AFS database servers and
  470. can therefore be located using /usr/vice/etc/CellServDB.  This means
  471. that a program built using the MIT Kerberos libraries will look in one
  472. place for the information while a program built using the AFS Kerberos
  473. libraries will look in another.  You can certainly set up all three
  474. files and use both libraries, but be sure that everything is
  475. consistent.
  476.  
  477. The two versions have a different password changing protocol, so you
  478. must use the correct 'kpasswd' program for the server you are talking
  479. to.  In general, AFS clients that talk directly to the kaserver use an
  480. Rx-based protocol, instead of UDP as with MIT Kerberos, so those AFS
  481. clients cannot talk to an MIT server.
  482.  
  483. In summary, AFS Kerberos and MIT Kerberos can interoperate once you've
  484. acquired a ticket granting ticket, which you can do with kinit (MIT)
  485. or klog (AFS, use the version that writes a ticket file).  With a tgt,
  486. Kerberos applications such as rlogin can talk to an MIT or AFS
  487. Kerberos server and achieve correct results.  However, it is probably
  488. best to pick one implementation and use it exclusively
  489.  
  490. (1.7)*    How/why is OSF DCE Kerberos different from MIT Kerberos V5?
  491.     Can they interoperate?
  492.  
  493. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  494.     Can they interoperate?
  495.  
  496. DEC ULTRIX contains Kerberos for a single reason, namely, to provide
  497. authenticated name service for the ULTRIX enhanced security option.
  498. It does not support user-level authentication in the normal manner.
  499.  
  500. DEC's version is essentially the same as (and derived from) MIT
  501. Kerberos V4 with a few changes.  The most significant change is that
  502. the ability to perform any kind of end-to-end user data encryption has
  503. been eliminated in order to comply with export restrictions.  Minor
  504. changes include the placement of ticket files (/var/dss/kerberos/tkt
  505. vs. /tmp) and the principal names used by some standard Kerberos
  506. services (e.g.: kprop vs. rcmd); there are probably other minor
  507. changes as well.
  508.  
  509. These changes make it annoying but not impossible to use DEC ULTRIX
  510. Kerberos in the normal way.  However, there is no reason at all to do
  511. so, because the MIT distribution supports ULTRIX directly.  [This may
  512. not be completely true.  I imagine that using ULTRIX Kerberos for
  513. enhanced security and MIT's Kerberos at the same time would cause
  514. problems.  Has anyone tried this?]
  515.  
  516. (1.9)    What is Bones?  What is it for?
  517.  
  518. Bones is a system that provides the Kerberos API without using
  519. encryption and without providing any form of security whatsoever.  It
  520. is a fake that allows the use of software that expects Kerberos to be
  521. present when it cannot be.
  522.  
  523. Why does it exist?  Kerberos is a network security system which relies
  524. on cryptographic methods for its security.  Since Kerberos' encryption
  525. system, DES, is not exportable, Kerberos itself cannot be exported or
  526. used outside of the United States in its original form.  (See question
  527. 2.2 for more information.)
  528.  
  529. As a partial solution to this problem, the Kerberos source code was
  530. modified by the addition of #ifdef NOENCRYPTION around all calls to
  531. DES functions.  Compiling this version with the symbol NOENCRYPTION
  532. defined results in a system that looks like Kerberos from an
  533. application's point of view but that does not require DES libraries
  534. (and, as a result, does not speak the real Kerberos protocol and does
  535. not provide any security).
  536.  
  537. The final piece in this puzzle is a program called "piranha" which
  538. takes the Kerberos sources and removes all of the calls to the
  539. encryption routines, replacing it with the code which was under #ifdef
  540. NOENCRYPTION, producing the system known as Bones.  Bones has the
  541. property that there is absolutely no question about whether or not it
  542. is legal to transport its sources across national boundaries, since it
  543. neither has any encryption routines nor any calls to encryption
  544. routines.
  545.  
  546. #ifdef NOENCRYPTION was not documented, and it was only intended to be
  547. used in the above manner.  Someone who tries compiling Kerberos with
  548. that #define has in some sense "voided the warranty", and will get
  549. something which is both (a) not secure and (b) not Kerberos.
  550.  
  551. 2.  Using and Administering Kerberos
  552. ----------------------------------------------------------------------
  553.  
  554. (2.1)    Can I use Kerberos for local password validation?
  555.  
  556. Yes, but only under certain circumstances and only if you are
  557. careful.
  558.  
  559. Requests for Kerberos ticket granting tickets (tgts) (e.g. from kinit
  560. or login) are sent in plaintext to the Kerberos server, which then
  561. responds with credentials encrypted in the requesting principal's
  562. secret key.  The program then attempts to decrypt the data with the
  563. supplied password and considers the authentication "successful" if the
  564. decryption appears to yield meaningful results (such as the correct
  565. principal name).
  566.  
  567. The problem here is that the requesting program cannot know for sure
  568. whether the decryption succeeded or, more importantly, whether the
  569. response actually came from the Kerberos server.  An attacker could,
  570. for example, walk up to an unattended machine and "log in" as a
  571. non-existent user.  Kerberos will eventually respond with an
  572. appropriate error, but the attacker can arrange for another program to
  573. deliver a fake response to login first; he then types the correct
  574. password (which he knows because he created the fake response in the
  575. first place) and succeeds in spoofing login.
  576.  
  577. The solution to this problem is for login to verify the tgt by using
  578. it to acquire a service ticket with a known key and comparing the
  579. results.  Typically, this means requesting an rcmd.<hostname> ticket,
  580. where <hostname> is the local hostname, and checking the response
  581. against the key store in the machine's /etc/srvtab file.  If the keys
  582. match then the original tgt must have come from Kerberos (since the
  583. key only exists in the srvtab and the Kerberos database), and login
  584. can allow the user to log in.
  585.  
  586. The solution works only so long as the host has a srvtab containing an
  587. rcmd.<hostname> (or any other standard principal) entry.  This is fine
  588. for physically secure or single-user workstations, but does not work
  589. on public workstations in which anyone could access the srvtab file.
  590.  
  591. (2.2)    What is the export status of Kerberos?
  592.  
  593. There is a tremendous amount of confusion on this topic.
  594.