home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / protocol / kerberos / 857 < prev    next >
Encoding:
Text File  |  1992-11-10  |  3.8 KB  |  84 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!ukma!darwin.sura.net!spool.mu.edu!agate!stanford.edu!ATHENA.MIT.EDU!tytso
  3. From: tytso@ATHENA.MIT.EDU (Theodore Ts'o)
  4. Subject: Re: GSSAPI documentation for Kerberos
  5. Message-ID: <9211110058.AA06356@tsx-11.MIT.EDU>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. References: <9211102226.AA13232@ocfmail.ocf.llnl.gov>
  9. Date: Wed, 11 Nov 1992 00:58:45 GMT
  10. Lines: 72
  11.  
  12.    Date: Tue, 10 Nov 92 14:26:50 PST
  13.    From: nessett@ocfmail.ocf.llnl.gov (Danny Nessett)
  14.  
  15.    Cliff Neuman suggested that I contact you about documentation on the GSSAPI
  16.    interface for Kerberos. We are interested in using this interface in an
  17.    application we are working on. In particular we would like to know the
  18.    subset of GSSAPI that is implemented for Kerberos V5 and what the C language
  19.    bindings are. We are hoping there is more documentation than the
  20.    source code. 
  21.  
  22. A couple of points; I actually haven't looked at the GSSAPI interface in
  23. a while; it did not change between Beta 1 and Beta 2, mostly because my
  24. attention was focused on other issues, and there really wasn't any
  25. clients which have been written against the GSSAPI interface I could use
  26. to do testing.
  27.  
  28. I believe all of the calls listed in the C binding specification of the
  29. GSSAPI were implemented, and they've been each unit tested, although I
  30. never had a chance to try compiling them with a sample application to
  31. do a full integration test --- this is one reason why the README in that
  32. directory still states that the code is Alpha-quality.  
  33.  
  34.     Unfortunately, the GSSAPI does not specify quite enough
  35. functionality such that it is possible to write a completely generic
  36. client.  For example, the flogin provided with SPX uses the following
  37. non-specified GSSAPI routines:
  38.  
  39. /*
  40.  * WARNING:  UNOFFICIAL GSSAPI ROUTINE!!
  41.  *
  42.  * gss__stash_default_cred() - Allows remote peer to bind delegated credential
  43.  *   handle with remote application.  Called by applications to set the
  44.  *   delegated credentials as the default credentials for a process.
  45.  *
  46.  *   OM_uint32    *minor_status  (output) - mechanism specific status code
  47.  *   gss_cred_id_t delegated_cred_handle (input) - handle for credentials
  48.  *                                         received from context initiator.
  49.  *
  50.  */
  51.  
  52. /*
  53.  * WARNING:  UNOFFICIAL GSSAPI ROUTINE!!
  54.  *
  55.  * gss__check_authorization() - Check authorization rights for principal
  56.  *   using the ACL file specified.
  57.  *
  58.  *   OM_uint32    *minor_status  (output) - mechanism specific status code
  59.  *   gss_buffer_t fullname_buffer (input) - principal's printable name
  60.  *   gss_buffer_t luser_buffer   (input)  - local user name
  61.  *   gss_buffer_t acl_file_buffer (input) - acl file name
  62.  *   gss_buffer_t service_buffer (input)  - service name
  63.  *   int          access_mode    (input)  - type of access (rwx, etc.)
  64.  *   gss_buffer_t resource_buffer (input) - resource name
  65.  *
  66.  */
  67.  
  68.     I am _not_ advocating that these functions be added to the
  69. GSSAPI, since I don't believe they are quite general enough, especially
  70. the gss__check_authorization() function.  However, they are required if
  71. you want to try linking the flogin GSSAPI client application which came
  72. with SPX, and I never got around to implementing them for the Kerberos
  73. GSSAPI library.  Other than that, unless I overlooked something, I
  74. believe it should be all there.
  75.  
  76.                             - Ted
  77.  
  78. P.S.  If someone else has written some GSSAPI client programs, I would
  79. be interested in hearing about them.  Also, if someone is interested in
  80. working with the Kerberos V5 GSSAPI implementation, and improving it,
  81. please feel free to do so, and send me your improvements.  I do plan to
  82. polish the GSSAPI library eventually, but not in the immediate future; I
  83. want to concentrate on the core portions of Kerberos V5 first.
  84.