home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 647 < prev    next >
Encoding:
Text File  |  1992-09-02  |  2.0 KB  |  63 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!APOLLO.HP.COM!sommerfeld
  3. From: sommerfeld@APOLLO.HP.COM
  4. Subject: Re: New User Accounts
  5. Message-ID: <9209021827.AA16816@hp.com>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. References: <1992Sep2.162020.14082@news.columbia.edu>
  9. Date: Wed, 2 Sep 1992 18:27:20 GMT
  10. Lines: 51
  11.  
  12.    We preload our KDC with potential user's entries with an instance
  13.    ID of "foobar" and a pre-assigned password (which for us is a not
  14.    so-well known secret but good enough given the headache of administering
  15.    15,000 new accounts each September).  For new user's we have a special
  16.    program which they run and give their pre-assigned password to.  If
  17.    they succeed in authenticating with it, then this program (which
  18.    has a srvtab instance of frobitz.admin and appears in the admin_acl.add
  19.    file ONLY) then does a kadm_ank to add the user with a null instance
  20.    and a good password that the program enforces.
  21.  
  22.    Our nightly kerberos log audit script then generates a form letter
  23.    for these people which is snail-mailed to them the next day as a
  24.    confirmation that it was really them who did it.  Not perfect, but
  25.    does the job for us.
  26.  
  27.    MIT Athena's Moira Userreg server is pretty much the same thing.
  28.    /a
  29.  
  30. The Athena Moira system (which I helped implement when I worked there;
  31. ask me some time about why icarus.mit.edu is a CNAME pointing to
  32. kerberos.mit.edu...) effectively uses the student id number as the
  33. initial password (since that was the only "shared secret" we had
  34. available that had *any* degree of security).
  35.  
  36. Two things made life interesting: 
  37.  
  38.     1) Athena was not allowed access to the student id numbers at
  39. the time (although things have changed since then); however, they
  40. could get a one-way hash of the id numbers.
  41.  
  42.     2) Each incoming class typically has several sets of students
  43. with the same {first name, last name} pair.
  44.  
  45. The solution is left as an exercise for the reader :-)
  46.  
  47.                         - Bill
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.