home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / protocol / kerberos / 840 < prev    next >
Encoding:
Text File  |  1992-11-06  |  2.5 KB  |  59 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!charon.amdahl.com!pacbell.com!decwrl!netsys!agate!stanford.edu!ISI.EDU!bcn
  3. From: bcn@ISI.EDU (Clifford Neuman)
  4. Subject: Local password validation (was: kerberizing xlock)
  5. Message-ID: <9211052304.AA16092@tgo.isi.edu>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. References: <9211051900.AA01169@ramanujam.bell-atl.com>
  9. Date: Thu, 5 Nov 1992 23:04:35 GMT
  10. Lines: 47
  11.  
  12.   From: bf4grjc@socrates.MIT.EDU (Ravi Ganesan (301) 595-8439)
  13.   Date: Thu, 5 Nov 92 14:00:50 EST
  14.  
  15.   I feel that getting a ticket and then getting a service ticket and using that
  16.   service - under the condition the service is on the same machine, is a 
  17.   theoretically messy, but practically convenient solution. (To recap a 
  18.   hyper-kludgy hyper-quick and hyper-dirty way of doing this would be to 
  19.   replace login with a combination of a kinit, a chown on the ticket, and then 
  20.   a quick rlogin into the same machine. Naturally in practice you would set 
  21.   up a dummy server that does something trivial like retun a YES/No 
  22.   repsonse to your login program.
  23.  
  24. Note that if all you want is to verify the password locally, and if
  25. you do not have a use for subsequent Kerberos authentication, then you
  26. can request a ticket for the "local verification" service in your
  27. first request to Kerberos.  There is no need to first request a ticket
  28. granting ticket.
  29.  
  30. Also, there is no need to actually contact the local verification
  31. service out of band.  The verification can be done entirely by the
  32. login program.  
  33.  
  34. What you would do is initially request a ticket for the verification
  35. service, use that ticket to construct an authenticator, then
  36. immediately verify the ticket and authenticator from within the login
  37. program using the "local verification" services key which is
  38. presumably available to the login program since it runs as root.
  39.  
  40. You could simplify this even further if you were willing to write your
  41. own code to do the verification, instead of using the code in the
  42. Kerberos library.  To do this, you would:
  43.  
  44.    Make an initial request for a "local verification" server ticket
  45.  
  46.    Decrypt the response using the password entered by the user
  47.  
  48.    Decrypt the ticket using the key of the "local verification" server
  49.  
  50.    Check to make sure the ticket is not expired
  51.  
  52.    Compare the session key from the ticket with that from the
  53.    response from the KDC.
  54.  
  55. If they match, and the ticket has not expired, then you have verified
  56. the identity of the user.
  57.  
  58.     ~ Cliff
  59.