home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 646 < prev    next >
Encoding:
Text File  |  1992-09-02  |  2.3 KB  |  55 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!ATHENA.MIT.EDU!warlord
  3. From: warlord@ATHENA.MIT.EDU (Derek Atkins)
  4. Subject: Re: New User Accounts
  5. Message-ID: <9209021801.AA26850@andre-norton.MIT.EDU>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. Date: Wed, 2 Sep 1992 18:01:55 GMT
  9. Lines: 44
  10.  
  11. > P.S.  Has anyone had any experience using SecurID cards with Kerberos  
  12. > IV or V?
  14. > I think one can use a service key to get a ticket and session key for  
  15. > a mutually authenticated private session with a "kerberos-SecurID"  
  16. > server, which is on the same machine as the kerberos server.  
  18. > The SecurID code would be sent to this server, and if authenticated  
  19. > by the SecurID software, the kerberos passwd would be changed to the  
  20. > securID code, and then changed to something random 30 seconds later.
  22. > The client would get initial kerberos tickets as usual using the  
  23. > SecurID code as the password.
  25. > Any comments are appreciated
  26.  
  27. I was looking into this possibility this summer.  One way of doing
  28. this would be to have the kerberos server know the SecurID algorithm
  29. and send you an initial ticket in encrypted in the SecurID number.
  30. Another possibility would be to send a couple of initial tickets for
  31. the next five minutes of validity, each with the SecurID number of
  32. that time, and then have the client try all of them until it gets a
  33. good one.
  34.  
  35. Sending the SecurID number to the kerberos server then means you need
  36. some way to securely get the kerberos ticket back onto your
  37. workstation.  What would you encrypt it in?  If you are using SecurID
  38. in the first place, that means you CAN'T use your kerberos password,
  39. as that would defeat the purpose.
  40.  
  41. There is a large problem in this -- its a "two network problem."  You
  42. need one secret, SecurID, to get into the system, and then you need
  43. another secret to authenticate to kerberos.  The cure is to somehow
  44. combine both secrets into one request/challenge/response sequence.
  45.  
  46. -derek
  47.  
  48. PS (Shameful plug) My thesis is going to involve something like this!
  49.  
  50.          Derek Atkins -- MIT '93 -- Electrical Engineering
  51. --warlord@MIT.EDU | ..!mit-eddie!mit-athena!warlord | s20069@mitvma.bitnet
  52.       Chairman, MIT Student Information Processing Board (SIPB)
  53.            MIT Media Laboratory, Speech Research Group
  54.  
  55.