home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 644 < prev    next >
Encoding:
Internet Message Format  |  1992-09-02  |  2.2 KB
  1. Path: sparky!uunet!ogicse!uwm.edu!zaphod.mps.ohio-state.edu!rpi!news.columbia.edu!usenet
  2. From: alan@curta.cc.columbia.edu (Alan Crosswell)
  3. Newsgroups: comp.protocols.kerberos
  4. Subject: Re: New User Accounts
  5. Message-ID: <1992Sep2.162020.14082@news.columbia.edu>
  6. Date: 2 Sep 92 16:20:20 GMT
  7. Article-I.D.: news.1992Sep2.162020.14082
  8. References: <9209020104.AA25528@windsail.nersc.gov>
  9. Sender: usenet@news.columbia.edu (The Network News)
  10. Organization: Columbia University
  11. Lines: 37
  12. Nntp-Posting-Host: curta.cc.columbia.edu
  13.  
  14. In article <9209020104.AA25528@windsail.nersc.gov> ramus@nersc.gov (Joe  
  15. Ramus) writes:
  17. > I do not see a good way to handle new user accounts in MIT Kerberos 4.
  19. > On some of our systems now, we have the concept of an expired password.
  20. > When we add a new user, the assigned password is expired and can only
  21. > be used to get a new password.  We then use some off-line method to  
  22. inform
  23. > the new user of the assigned password.  The user must then get a new
  24. > password which is known only to that user.
  26. > Kerberos 4 has the concept of an expiration date for a principal.
  27. > When that date is reached, the principal is no longer able to get a
  28. > ticket and cannot change the password.
  30. > How do other sites manage new accounts and assigned passwords?
  32. >   Joe Ramus  NERSC Livermore  (510) 423-8917   ramus@nersc.gov
  33.  
  34. We preload our KDC with potential user's entries with an instance
  35. ID of "foobar" and a pre-assigned password (which for us is a not
  36. so-well known secret but good enough given the headache of administering
  37. 15,000 new accounts each September).  For new user's we have a special
  38. program which they run and give their pre-assigned password to.  If
  39. they succeed in authenticating with it, then this program (which
  40. has a srvtab instance of frobitz.admin and appears in the admin_acl.add
  41. file ONLY) then does a kadm_ank to add the user with a null instance
  42. and a good password that the program enforces.
  43.  
  44. Our nightly kerberos log audit script then generates a form letter
  45. for these people which is snail-mailed to them the next day as a
  46. confirmation that it was really them who did it.  Not perfect, but
  47. does the job for us.
  48.  
  49. MIT Athena's Moira Userreg server is pretty much the same thing.
  50. /a
  51.