home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / rfc / rfc1411 < prev    next >
Encoding:
Text File  |  1993-01-26  |  7.8 KB  |  228 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                  D. Borman, Editor
  8. Request for Comments: 1411                           Cray Research, Inc.
  9.                                                             January 1993
  10.  
  11.  
  12.                Telnet Authentication: Kerberos Version 4
  13.  
  14. Status of this Memo
  15.  
  16.    This memo defines an Experimental Protocol for the Internet
  17.    community.  Discussion and suggestions for improvement are requested.
  18.    Please refer to the current edition of the "IAB Official Protocol
  19.    Standards" for the standardization state and status of this protocol.
  20.    Distribution of this memo is unlimited.
  21.  
  22. 1. Command Names and Codes
  23.  
  24.    Authentication Types
  25.  
  26.       KERBEROS_V4  1
  27.  
  28.    Suboption Commands
  29.  
  30.       AUTH         0
  31.       REJECT       1
  32.       ACCEPT       2
  33.       CHALLENGE    3
  34.       RESPONSE     4
  35.  
  36. 2.  Command Meanings
  37.  
  38.    IAC SB AUTHENTICATION IS <authentication-type-pair> AUTH <kerberos
  39.    ticket and authenticator> IAC SE
  40.  
  41.       This is used to pass the Kerberos ticket to the remote side of the
  42.       connection.  The first octet of the <authentication-type-pair>
  43.       value is KERBEROS_V4, to indicate the usage of Kerberos version 4.
  44.  
  45.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> ACCEPT IAC SE
  46.  
  47.       This command indicates that the authentication was successful.
  48.  
  49.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> REJECT
  50.    <optional reason for rejection> IAC SE
  51.  
  52.       This command indicates that the authentication was not successful,
  53.       and if there is any more data in the sub-option, it is an ASCII
  54.       text message of the reason for the rejection.
  55.  
  56.  
  57.  
  58. Telnet Working Group                                            [Page 1]
  59.  
  60. RFC 1411             Kerberos Version 4 for Telnet          January 1993
  61.  
  62.  
  63.    IAC SB AUTHENTICATION IS <authentication-type-pair> CHALLENGE
  64.    <encrypted challenge> IAC SE
  65.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> RESPONSE
  66.    <encrypted response> IAC SE
  67.  
  68.       These two commands are used to perform mutual authentication.
  69.       They are only used when the AUTH_HOW_MUTUAL bit is set in the
  70.       second octet of the authentication-type-pair.  After successfully
  71.       sending an AUTH and receiving an ACCEPT, a CHALLENGE is sent.  The
  72.       challenge is a random 8 byte number with the most significant byte
  73.       first, and the least significant byte last.  When the CHALLENGE
  74.       command is sent, the "encrypted challenge" is the 8-byte-challenge
  75.       encrypted in the session key.  When the CHALLENGE command is
  76.       received, the contents are decrypted to get the original 8-byte-
  77.       challenge, this value is then incremented by one, re-encrypted
  78.       with the session key, and returned as the "encrypted response" in
  79.       the RESPONSE command.  The receiver of the RESPONSE command
  80.       decrypts the "encrypted response", and verifies that the resultant
  81.       value is the original 8-byte-challenge incremented by one.
  82.  
  83.       The "encrypted challenge" value sent/received in the CHALLENGE
  84.       command is also encrypted with the session key on both sides of
  85.       the session, to produce a random 8-byte key to be used as the
  86.       default key for the ENCRYPTION option.
  87.  
  88. 3.  Implementation Rules
  89.  
  90.    If the second octet of the authentication-type-pair has the AUTH_WHO
  91.    bit set to AUTH_CLIENT_TO_SERVER, then the client sends the initial
  92.    AUTH command, and the server responds with either ACCEPT or REJECT.
  93.    In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the
  94.    server responds with ACCEPT, then the client then sends a CHALLENGE,
  95.    and the server sends a RESPONSE.
  96.  
  97.    If the second octet of the authentication-type-pair has the AUTH_WHO
  98.    bit set to AUTH_SERVER_TO_CLIENT, then the server sends the initial
  99.    AUTH command, and the client responds with either ACCEPT or REJECT.
  100.    In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the
  101.    client responds with ACCEPT, then the server then sends a CHALLENGE,
  102.    and the client sends a RESPONSE.
  103.  
  104.    The authenticator (Kerberos Principal) used is of the form
  105.    "rcmd.host@realm".
  106.  
  107. 4.  Examples
  108.  
  109.    User "joe" may wish to log in as user "pete" on machine "foo".  If
  110.    "pete" has set things up on "foo" to allow "joe" access to his
  111.  
  112.  
  113.  
  114. Telnet Working Group                                            [Page 2]
  115.  
  116. RFC 1411             Kerberos Version 4 for Telnet          January 1993
  117.  
  118.  
  119.    account, then the client would send IAC SB AUTHENTICATION NAME "pete"
  120.    IAC SE IAC SB AUTHENTICATION IS KERBEROS_V4 AUTH <joe's kerberos
  121.    ticket> IAC SE The server would then authenticate the user as "joe"
  122.    from the ticket information, and since "pete" is allowing "joe" to
  123.    use his account, the server would send back ACCEPT.  If mutual
  124.    authentication is being used, the the client would send a CHALLENGE,
  125.    and verify the RESPONSE that the server sends back.
  126.  
  127.        Client                           Server
  128.                                         IAC DO AUTHENTICATION
  129.        IAC WILL AUTHENTICATION
  130.        [ The server is now free to request authentication information.
  131.          ]
  132.                                         IAC SB AUTHENTICATION SEND
  133.                                         KERBEROS_V4 CLIENT|MUTUAL
  134.                                         KERBEROS_V4 CLIENT|ONE_WAY IAC
  135.                                         SE
  136.        [ The server has requested mutual Version 4 Kerberos
  137.          authentication.  If mutual authentication is not supported,
  138.          then the server is willing to do one-way authentication.
  139.  
  140.          The client will now respond with the name of the user that it
  141.          wants to log in as, and the Kerberos ticket.  ]
  142.        IAC SB AUTHENTICATION NAME
  143.        "pete" IAC SE
  144.        IAC SB AUTHENTICATION IS
  145.        KERBEROS_V4 CLIENT|MUTUAL AUTH
  146.        <kerberos ticket information>
  147.        IAC SE
  148.        [ The server responds with an ACCEPT command to state that the
  149.          authentication was successful.  ]
  150.                                         IAC SB AUTHENTICATION REPLY
  151.                                         KERBEROS_V4 CLIENT|MUTUAL ACCEPT
  152.                                         IAC SE
  153.        [ Next, the client sends across a CHALLENGE to verify that it is
  154.          really talking to the right server.  ]
  155.        IAC SB AUTHENTICATION IS
  156.        KERBEROS_V4 CLIENT|MUTUAL
  157.        CHALLENGE xx xx xx xx xx xx xx
  158.        xx IAC SE
  159.        [ Lastly, the server sends across a RESPONSE to prove that it
  160.          really is the right server.
  161.                                         IAC SB AUTHENTICATION REPLY
  162.                                         KERBEROS_V4 CLIENT|MUTUAL
  163.                                         RESPONSE yy yy yy yy yy yy yy yy
  164.                                         IAC SE
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Telnet Working Group                                            [Page 3]
  171.  
  172. RFC 1411             Kerberos Version 4 for Telnet          January 1993
  173.  
  174.  
  175. Security Considerations
  176.  
  177.    The ability to negotiate a common authentication mechanism between
  178.    client and server is a feature of the authentication option that
  179.    should be used with caution.  When the negotiation is performed, no
  180.    authentication has yet occurred.  Therefore, each system has no way
  181.    of knowing whether or not it is talking to the system it intends.  An
  182.    intruder could attempt to negotiate the use of an authentication
  183.    system which is either weak, or already compromised by the intruder.
  184.  
  185. Author's Address
  186.  
  187.    David A. Borman, Editor
  188.    Cray Research, Inc.
  189.    655F Lone Oak Drive
  190.    Eagan, MN 55123
  191.  
  192.    Phone: (612) 452-6650
  193.    EMail: dab@CRAY.COM
  194.  
  195.    Mailing List: telnet-ietf@CRAY.COM
  196.  
  197. Chair's Address
  198.  
  199.    The working group can be contacted via the current chair:
  200.  
  201.    Steve Alexander
  202.    INTERACTIVE Systems Corporation
  203.    1901 North Naper Boulevard
  204.    Naperville, IL 60563-8895
  205.  
  206.    Phone: (708) 505-9100 x256
  207.    EMail: stevea@isc.com
  208.  
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Telnet Working Group                                            [Page 4]
  227.  
  228.