home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / network / mil_taca.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  13.4 KB  |  313 lines
  1. [ netinfo/mil-tacacs-instructions.txt
  2.  
  3.  
  4.                INSTRUCTIONS FOR NETWORK USER REGISTRATION
  5.  
  6.  
  7. I.  BRIEF OVERVIEW
  8.  
  9.    The Defense Data Network Defense Communications Systems (DCS) has
  10.    authorized the DDN Network Information Center (NIC) to register users
  11.    on the MILNET and to issue MILNET TAC Access Cards.  The NIC maintains
  12.    the user registration information in the NIC WHOIS Database.  It is
  13.    the intent of the DDN DCS that all network users be registered in the
  14.    WHOIS Database.  This database serves as an online "white pages"
  15.    service.  The Host Administrator of each host is responsible for
  16.    registering the users of that host, and for authorizing individual
  17.    account holders to access that host via MILNET TACs.  In order to do
  18.    this, the Host Adminstrator must be registered in the WHOIS database
  19.    and have a network mailbox.  This file describes the procedure by
  20.    which you, as a Host Administrator, can register your users and
  21.    authorize them to access the network via MILNET TACs.
  22.  
  23. II.  GUIDELINES AS TO WHO MAY BE A REGISTERED USER OF THE MILNET
  24.  
  25.    Users of the DDN network should be engaged in U.S. government business
  26.    or should be actively involved in providing operations or system
  27.    support for government-owned or government-supported MILNET computer
  28.    communications equipment.  Any MILNET user with a valid account on a
  29.    MILNET host may be included in the NIC WHOIS Database.
  30.  
  31.    The intent of the DDN DCS is to let the local hosts manage themselves
  32.    responsibly within the guidelines set down by the government.  In
  33.    accordance, each Host Administrator is responsible for users that he
  34.    or she has authorized to use the network.  The DDN DCS will work with
  35.    the Host Administrators should any problems arise.
  36.  
  37. III.  USERS REQUESTING ACCESS TO MILNET TACS
  38.  
  39.    The MILNET TAC Access System (TACACS), which became operational in
  40.    February 1984, controls access to the network by a TAC login
  41.    procedure.  In order to access the network via a MILNET TAC, each
  42.    individual user must have a TAC Access Card issued by the NIC.  In
  43.    order to receive a TAC Access Card, each individual user must by
  44.    registered at the NIC and authorized for TAC access by the Host
  45.    Administrator.
  46.  
  47.    Users who request MILNET TAC access constitute a special subset of
  48.    registered  users.  The DDN DCS requires that these users be
  49.    individually screened and approved by the authorizing Host
  50.    Administrator.  Also, no one will be given MILNET TAC access without
  51.    first having a valid account on a MILNET host.  The NIC has adopted
  52.    the policy that a MILNET TAC user is "authorized" if the user
  53.    template indicating a need for MILNET TAC access comes to the NIC
  54.    from the authorizing Host Administrator's mailbox.
  55.  
  56. IV.  REGISTERING USERS
  57.  
  58.    Use the template in Section X to register individuals with accounts
  59.    on your host.  Complete a template for each individual and separate
  60.    the templates by a blank line.  Fill in all the relevant fields
  61.    following the guidelines provided under Section IX.  It is important
  62.    that you use the NIC template and try to adhere to the same data
  63.    entry style as we have used.  This will allow us to automatically
  64.    input the data into our database, and will minimize the amount of
  65.    editing required.  We will not accept data other than in the template
  66.    form specified.
  67.  
  68.    You may send blank templates to your users to fill out.  Have them
  69.    return the filled-in templates to you.  Accumulate them into a single
  70.    file.  Review the lists (as you are responsible for the
  71.    authorization of registered users on your host), and send us the
  72.    files as messages to the mailbox,  REGISTRAR@NIC.DDN.MIL.  (See Section
  73.    VIII for further discussion on submitting the templates.)
  74.  
  75. V.  OBTAINING LISTS OF USERS CURRENTLY IN THE NIC DATABASE
  76.  
  77.    You may request from the NIC a file of templates of individuals
  78.    currently registered in the NIC WHOIS Database whose primary login
  79.    name is on your host.  The file can be pulled over to your host via
  80.    FTP, updated and returned VIA NETWORK MAIL to
  81.    REGISTRAR@NIC.DDN.MIL.  To delete a user from the database, fill
  82.    in the "Delete" field in the user's template.  DO NOT DELETE the
  83.    template itself.  To add a user to the database, fill out the
  84.    template included under Section X.  Complete a template for each new
  85.    individual.  You can add these to the corrected entries or send them
  86.    as a separate list, whichever you prefer.
  87.  
  88. VI.  DELETING USERS FROM THE DATABASE
  89.  
  90.    When a user's account is deleted from your host, the user's record
  91.    should be deleted from the WHOIS Database.  This can be accomplished
  92.    by filling in the "Delete" field in the user's template as described
  93.    in Section V, or by sending a brief network message to
  94.    REGISTRAR@NIC.DDN.MIL giving the user's full name and account name. 
  95.    If a user who has been issued a TAC Access Card is deleted from the
  96.    database, the NIC will automatically invalidate the user's card during
  97.    the annual reregistration of the host.  The delay in invalidating the
  98.    user's TAC card is due to software limitations of the TACs.   If a user
  99.    is considered to be a possible security risk, please contact the NIC 
  100.    immediately with this information; the user's TAC UserID will be
  101.    hotlisted (invalidated).
  102.  
  103. VII.  USERS WITH ACCOUNTS ON MORE THAN ONE HOST
  104.  
  105.    A user should ideally be authorized by the Host Administrator of the
  106.    user's "primary" host, where "primary" is defined as the "home" host
  107.    or the host on which the user has an account to do the primary work
  108.    for which he or she is authorized to use the network.  Some users
  109.    will have several legitimate accounts, in which case the "primary"
  110.    host will probably be the one on which they receive electronic mail,
  111.    or the one which they themselves identify as their "home" host.
  112.  
  113.    If users do have multiple accounts on more than one MILNET host,
  114.    and if each Host Administrator fills in a template for every
  115.    user on his or her host, the NIC may well receive multiple templates
  116.    for some users.  We are prepared to resolve any resulting
  117.    duplication.
  118.  
  119.    If a user tells you that a template has already been filled in for
  120.    him or her by another Host Administrator, do not fill in another
  121.    template unless you are sure that your host is the primary host for
  122.    that user.  If you are in doubt or don't know, check with the user.
  123.    The NIC will screen for duplication.
  124.  
  125.    If the user does not require MILNET TAC access, the template need not
  126.    come from the authorizing Host Administrator's mailbox.  However, as
  127.    stated above, the Host Administrator is responsible for the
  128.    appropriateness of all use of the network by users accessing the network
  129.    from his or her host.  Therefore, it is important that the
  130.    "Authorizing Host" field reflect accurately the host which is the
  131.    "home" host or on which the user is doing his or her primary work.
  132.  
  133. VIII.  ONLINE MAIL ADDRESS FOR COMPLETED TEMPLATES
  134.  
  135.    Please send user registration templates in a network message to:
  136.  
  137.       REGISTRAR@NIC.DDN.MIL
  138.  
  139.    Remember, if users require MILNET TAC access, the list of templates
  140.    MUST be sent to us from the Host Administrator's mailbox.  As stated,
  141.    this is our guarantee that the users on this list are authorized to
  142.    have MILNET TAC access.
  143.  
  144.    Please send us all the templates via network mail.
  145.  
  146.    If the list is too long for your mail system to process, you may
  147.    break the lists arbitrarily (between templates) and send them as a
  148.    set of messages.  If  you do break up the list, please indicate in
  149.    the subject field of each message:  Part 1 of 4, Part 2 of 4, etc.
  150.    To assure that the NIC mail system will be able to process your
  151.    message, do not send a message of over 50,000 characters.
  152.  
  153. IX.  SPECIFIC INSTRUCTIONS FOR EACH TEMPLATE FIELD
  154.  
  155.    If all users or a group of users in your list will have identical
  156.    data in any field (i.e., same text of address, phone number,
  157.    authorizing host, etc.),  please enter the full text of the field in
  158.    the first template of the group in the list.  You may then indicate
  159.    that this information is to be repeated by simply entering "*" as the
  160.    text of that field in subsequent templates, (* =  ditto).  The "*"
  161.    may be used only in the following fields:
  162.  
  163.       U.S. MAIL ADDRESS:
  164.       PHONE:
  165.       AUTHORIZING HOST:
  166.       PRIMARY LOGIN NAME:
  167.       PRIMARY NETWORK MAILBOX:
  168.       TERMINATION DATE:
  169.  
  170.    FULL NAME:
  171.  
  172.    The name may be entered in any of the following formats:
  173.  
  174.       Lastname, Firstname I.
  175.       Lastname, Firstname
  176.       Lastname, I. Middlename
  177.       Lastname, Firstname I., Jr.
  178.       Lastname, Firstname I., III
  179.  
  180.       where "I." = an initial
  181.  
  182.       Do not include military rank or professional titles.
  183.  
  184.    U.S. MAIL ADDRESS - some standard procedures:
  185.  
  186.       The name of the organization or university should appear on the
  187.       first line.  Do not use acronyms for the name of the organization.
  188.       The second line may contain information such as the department
  189.       name, code, or attention line, followed by a line containing the
  190.       building name or number, room number if you wish to include any of
  191.       these.  The next line should contain the street address or Post
  192.       Office Box.  The last line of the address field should contain the
  193.       city, state and zip code.  If you commonly use a 9 digit zip code,
  194.       enter that.
  195.  
  196.       DO NOT USE ANY ABBREVIATIONS OR ACRONYMS, with the exception of
  197.  
  198.          Incorporated.......Inc.
  199.          Limited............Ltd.
  200.          Corporation........Corp.
  201.          Company............Co.
  202.          Post Office Box....P.O. Box
  203.  
  204.       Separate lines of the address by a carriage return.
  205.  
  206.    PHONE:  
  207.  
  208.       Up to four phone numbers are allowed.  Acceptable formats are:
  209.  
  210.       U.S. numbers
  211.  
  212.       (123) 456-7890
  213.       (123) 456-7890 ext 123
  214.       (123) 456-7890 (DSN) 567-7890
  215.       (123) 456-7890 (DSN) 567-7890 (FTS) 667-7890
  216.       (123) 456-7890 or 456-0987
  217.       (123) 456-7890 or 456-0987 (DSN) 567-7890 or 567-0987
  218.  
  219.       Overseas numbers
  220.  
  221.       [49] 711-123456 or (DSN) 420-1234 or (M) 8765-1234 (For overseas
  222.       numbers, give number through country code with country code in
  223.       brackets.)
  224.  
  225.    AUTHORIZING HOST:
  226.  
  227.       This is the name of the host which the user considers his or her
  228.       "home" host, or on which the user is doing the primary work for
  229.       which he or she is authorized to use the MILNET.
  230.  
  231.       Enter the OFFICIAL HOSTNAME rather than an approved nickname.
  232.  
  233.    PRIMARY LOGIN NAME:
  234.  
  235.       This is the primary login name/username/directory name of the
  236.       user on the authorizing host.
  237.  
  238.       If the login name is a part of the security system on your host
  239.       and therefore should be kept secret, do not enter it in this
  240.       field.
  241.  
  242.       The primary login name may be a group directory name if it is the
  243.       only one the individual uses.
  244.  
  245.    PRIMARY NETWORK MAILBOX:
  246.  
  247.       This is the mailbox where this individual prefers to receive
  248.       mail.  This may or may not be his or her primary login name on
  249.       your host.  If mail addresses are case dependent on your host,
  250.       specify the mailbox string accordingly.  Otherwise enter the
  251.       string in upper case.
  252.  
  253.       Separate the username and hostname parts of the mailbox by "@".
  254.  
  255.       Format:  USERNAME@HOSTNAME, e.g. SMITH@NIC
  256.  
  257.       For those hosts whose official hostname is a Fully Qualified
  258.       Domain Name (FQDN), enter the FQDN in the hostname part of the
  259.       mailbox.  The FQDN is preferred, as in:  SMITH@AI.AI.MIT.EDU
  260.  
  261.    MILNET TAC ACCESS? (y/n):
  262.  
  263.       For a user to be authorized for MILNET TAC access, this field must
  264.       be filled in with "y" or "yes".  This is the means by which you, as
  265.       Host Administrator, indicate to us that this user is authorized
  266.       for MILNET TAC access and will require a MILNET TAC Access Card.
  267.       A TAC Access Card will be automatically generated for each
  268.       individual whose template contains "y" or "yes" in this field,
  269.       providing that the template is sent to us from the Host
  270.       Administrator's mailbox.
  271.  
  272.    TERMINATION DATE:
  273.  
  274.       The DEROS date (Date Eligible for Return from Overseas) for military
  275.       users, estimated date of graduation for students, estimated
  276.       elapse date for temporary users is requested here for use on
  277.       military hosts.  Others may use the field if they wish.  It is
  278.       not currently used in maintenance of the WHOIS database and will
  279.       not cause automatic deletion of records from the database.
  280.  
  281.       Format:  MO/YR, e.g., 10/83, 02/84
  282.  
  283.    HANDLE:
  284.  
  285.       The handle is the unique identifying label for the record.
  286.  
  287.       This field appears in templates of currently registered users.
  288.  
  289.          DO NOT ALTER THIS FIELD.
  290.  
  291.       This field does not appear in the blank template.  Do not specify
  292.       a handle for the ADDITIONS.  Our program will automatically
  293.       generate a unique identifier (handle) for each individual
  294.       template.
  295.  
  296.    DELETE? (y/n):
  297.  
  298.       If the individual no longer has a login account on your host, mark
  299.       this field with a "y" or "yes".  DO NOT DELETE THE WHOLE TEMPLATE.
  300.  
  301. X.  SAMPLE BLANK TEMPLATE
  302.  
  303.    FULL NAME:
  304.    U.S. MAIL ADDRESS:
  305.    PHONE:
  306.    AUTHORIZING HOST:
  307.    PRIMARY LOGIN NAME:
  308.    PRIMARY NETWORK MAILBOX:
  309.    MILNET TAC ACCESS? (y/n):
  310.    TERMINATION DATE:
  311.    HANDLE:    ****DO NOT ALTER THIS FIELD.****
  312.  
  313.