home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / protocol / kerberos / 681 < prev    next >
Encoding:
Text File  |  1992-09-09  |  4.9 KB  |  99 lines

  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!OCFMAIL.OCF.LLNL.GOV!nessett
  3. From: nessett@OCFMAIL.OCF.LLNL.GOV (Danny Nessett)
  4. Subject: Re:  Existing authentication mechanisms have a deficiency
  5. Message-ID: <9209091614.AA15084@ocfmail.ocf.llnl.gov>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. Date: Wed, 9 Sep 1992 16:14:34 GMT
  9. Lines: 88
  10.  
  11. Glen Zorn writes,
  12.  
  13. > I think you may be confusing authentication and authorization:even if a system
  14. > were completely Kerberized for authentication purposes, you would still need
  15. > some way to specify which principals were *authorized* to perform various
  16. > tasks, access local files, etc.Probably you would want this control to reside 
  17. > locally, or at least be configurable on a machine-by-machine basis -- I might 
  18. > be trusted to administer a software development system, but not to browse
  19. > the company's payroll files. That's where the /etc/passwd file (or its
  20. > surrogate) comes in, in specifying which users (however they are
  21. > authenticated) are allowed what type of access (if any) to the local system.
  22. > ~ Glen
  23.  
  24. Similarly, Ted Ts'o writes,
  25.  
  26. > Yup.... what's missing is "an authorization mechanism".  Both Kerberos
  27. > and SPX purport to offer an "authentication", and completely punt on the
  28. > "authorization" issue, leaving that as an exercise for the application
  29. > writer to deal with.
  30. > While this may seem to be an amazing cop out, since every nearly every
  31. > application which uses the authentication services provided by Kerberos
  32. > or SPX will require some sort of authorization policy, even if it is as
  33. > simple as checking an ACL, file, there is a good reason for this design
  34. > choice.  And the reason is this:  
  35. >     While authentication systems are relatively well-understood at
  36. >     this point, authorization policies are not.  
  37. > Specifically, there is no good, general model which shows what sort of
  38. > functionality an system would need in order to provide a completely
  39. > general authorization policy which would work for all possible
  40. > applications.  There have been attempts to do so --- ECMA has issued one
  41. > or two technical reports which try to do so --- but they tend to be
  42. > fairly confusing, and it is not clear at least to me whether they
  43. > generate more light than heat.  So it seems fairly clear to me that a
  44. > workable authorization framework is at least partially still an area for
  45. > research.  
  46. > What we use at MIT Project Athena is a system called "Moira" to handle
  47. > our authorization policies.  Specifically, it is a database system which
  48. > automtically distributes configuration files to most of the Project
  49. > Athena servers every night.  This allows most of the authorizatrion
  50. > information to bee kept in exactly one place, as your requirement
  51. > specifies.  Since connections to Moira require a Kerberos-authenticated
  52. > connection, reasonable access list control can be placed on the Moira
  53. > database, and it is even possible to figure out who made what
  54. > modifications to a particular database entry.
  55. > Moira is big and hard to set up (it runs on top of Ingres), so it may
  56. > not be appropriate for all sites.  But it is one solution which keeps a
  57. > large part of the authorization information in one centralized place.
  58. >                             - Ted
  59.  
  60. While I agree that authorization is a topic that has not been adequately
  61. treated yet in regards to distributed systems, I think you missed my point.
  62. The /etc/passwd file carries alot of information about a user including
  63. his encrypted password, his uid, his personal information, etc. It is also
  64. true that /etc/passwd couldn't simply be eliminated unless the data about
  65. a person that is kept there is stored elsewhere. However, my point was
  66. about authentication; I was not addressing the general question of eliminating
  67. /etc/passwd. 
  68.  
  69. One could imagine a system configured so that all on-machine authentication
  70. requests contacted the appropriate server, say the Kerberos server or
  71. SPX LEAF server, rather than looking in /etc/passwd for the user's
  72. encrypted password. Actually, I think SUN already does something like this
  73. by looking in the NIS (aka Yellow Pages) database for a user's encrypted
  74. password. Moving the authentication information off-machine has the advantage
  75. of centralizing the data, allowing it to be protected more carefully at lower
  76. cost, providing a single point of administration for authentication, etc.
  77. My suggestion about modifying su to contact the appropriate server to
  78. perform authentication was along these lines.
  79.  
  80. By the way, I'm not claiming that such a scheme is problem-free. It means
  81. locating and changing all programs that access the encrypted password
  82. field of /etc/passwd and changing them to call a routine that authenticates
  83. using the central server. This requires not only new code, but also maintenance
  84. of these modified programs as the central authentication systems change from
  85. version to version.
  86.  
  87. Regards,
  88.  
  89. Dan
  90.  
  91.