RFC1411 日本語訳

Network Working Group                                  D. Borman, Editor
Request for Comments: 1411                           Cray Research, Inc.
                                                            January 1993

ワーキンググループのD.ボーマン、コメントを求めるエディタ要求をネットワークでつないでください: 1411 クレイ・リサーチ1993年1月

               Telnet Authentication: Kerberos Version 4

telnet認証: ケルベロスバージョン4

Status of this Memo

このMemoの状態

   This memo defines an Experimental Protocol for the Internet
   community.  Discussion and suggestions for improvement are requested.
   Please refer to the current edition of the "IAB Official Protocol
   Standards" for the standardization state and status of this protocol.
   Distribution of this memo is unlimited.

このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。 議論と改善提案は要求されています。 このプロトコルの標準化状態と状態の「IABの公式のプロトコル標準」の現行版を参照してください。 このメモの分配は無制限です。

1. Command Names and Codes

1. コマンド名とコード

   Authentication Types

認証タイプ

      KERBEROS_V4  1

ケルベロス_V4 1

   Suboption Commands

Suboptionコマンド

      AUTH         0
      REJECT       1
      ACCEPT       2
      CHALLENGE    3
      RESPONSE     4

AUTH0廃棄物1は2挑戦3応答4を受け入れます。

2.  Command Meanings

2. コマンド意味

   IAC SB AUTHENTICATION IS <authentication-type-pair> AUTH <kerberos
   ticket and authenticator> IAC SE

IAC SB AUTHENTICATION IS<認証タイプ組の>AUTH<kerberosチケットと固有識別文字>IAC SE

      This is used to pass the Kerberos ticket to the remote side of the
      connection.  The first octet of the <authentication-type-pair>
      value is KERBEROS_V4, to indicate the usage of Kerberos version 4.

これは、ケルベロスチケットを接続の遠隔地側に渡すのに使用されます。 認証タイプ組>が評価する<の最初の八重奏は、ケルベロスバージョン4の用法を示すためにはケルベロス_V4です。

   IAC SB AUTHENTICATION REPLY <authentication-type-pair> ACCEPT IAC SE

IAC SB認証回答<認証タイプ組>はIAC SEを受け入れます。

      This command indicates that the authentication was successful.

このコマンドは、認証がうまくいったのを示します。

   IAC SB AUTHENTICATION REPLY <authentication-type-pair> REJECT
   <optional reason for rejection> IAC SE

IAC SB AUTHENTICATION REPLY<認証タイプ組>のREJECTの<の任意の不合格理由>IAC SE

      This command indicates that the authentication was not successful,
      and if there is any more data in the sub-option, it is an ASCII
      text message of the reason for the rejection.

このコマンドは、認証がうまくいかなかったのを示します、そして、サブオプションにそれ以上のデータがあれば、それは拒絶の理由に関するASCIIテキストメッセージです。

Telnet Working Group                                            [Page 1]

RFC 1411             Kerberos Version 4 for Telnet          January 1993

telnet1993年1月のためのtelnetワーキンググループ[1ページ]RFC1411ケルベロスバージョン4

   IAC SB AUTHENTICATION IS <authentication-type-pair> CHALLENGE
   <encrypted challenge> IAC SE
   IAC SB AUTHENTICATION REPLY <authentication-type-pair> RESPONSE
   <encrypted response> IAC SE

IAC SB AUTHENTICATION IS<認証タイプ組>CHALLENGE<暗号化された挑戦>IAC SE IAC SB AUTHENTICATION REPLY<認証タイプ組>RESPONSE<は応答>IAC SEを暗号化しました。

      These two commands are used to perform mutual authentication.
      They are only used when the AUTH_HOW_MUTUAL bit is set in the
      second octet of the authentication-type-pair.  After successfully
      sending an AUTH and receiving an ACCEPT, a CHALLENGE is sent.  The
      challenge is a random 8 byte number with the most significant byte
      first, and the least significant byte last.  When the CHALLENGE
      command is sent, the "encrypted challenge" is the 8-byte-challenge
      encrypted in the session key.  When the CHALLENGE command is
      received, the contents are decrypted to get the original 8-byte-
      challenge, this value is then incremented by one, re-encrypted
      with the session key, and returned as the "encrypted response" in
      the RESPONSE command.  The receiver of the RESPONSE command
      decrypts the "encrypted response", and verifies that the resultant
      value is the original 8-byte-challenge incremented by one.

これらの2つのコマンドが、互いの認証を実行するのに使用されます。 AUTH_HOW_MUTUALビットが認証タイプ組の2番目の八重奏で設定されるときだけ、それらは使用されます。 首尾よくAUTHを送って、ACCEPTを受けた後に、CHALLENGEを送ります。 挑戦は1番目の、そして、最も重要でないバイトが持続する中で最も重要なバイトがある8バイトの無作為の数です。 CHALLENGEコマンドを送るとき、「暗号化された挑戦」はセッションキーで暗号化された8バイトの挑戦です。 CHALLENGEコマンドが受け取られているとき、内容は、オリジナルの8バイトの挑戦(次に、セッションキーで再暗号化されたもので増加されていて、RESPONSEコマンドにおける「暗号化された応答」として返されたこの値)を得るために解読されます。 RESPONSEコマンドの受信機は、「暗号化された応答」を解読して、結果の値が1つ増加された8バイトのオリジナルの挑戦であることを確かめます。

      The "encrypted challenge" value sent/received in the CHALLENGE
      command is also encrypted with the session key on both sides of
      the session, to produce a random 8-byte key to be used as the
      default key for the ENCRYPTION option.

また、CHALLENGEコマンドで送るか、または受け取る「暗号化された挑戦」値はセッションの両側で主要なセッションで暗号化されて、ENCRYPTIONオプションに、主要なデフォルトとして使用されるために無作為の8バイトのキーを生産します。

3.  Implementation Rules

3. 実装規則

   If the second octet of the authentication-type-pair has the AUTH_WHO
   bit set to AUTH_CLIENT_TO_SERVER, then the client sends the initial
   AUTH command, and the server responds with either ACCEPT or REJECT.
   In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the
   server responds with ACCEPT, then the client then sends a CHALLENGE,
   and the server sends a RESPONSE.

認証タイプ組の2番目の八重奏でAUTH_CLIENT_TO_SERVERにAUTH_WHOビットを設定するなら、クライアントは初期のAUTHコマンドを送ります、そして、サーバはACCEPTかREJECTのどちらかと共に反応します。 さらに、次に、AUTH_HOWビットがAUTH_HOW_MUTUALに設定されて、サーバがACCEPTと共に反応するなら、クライアントはCHALLENGEを送ります、そして、サーバはRESPONSEを送ります。

   If the second octet of the authentication-type-pair has the AUTH_WHO
   bit set to AUTH_SERVER_TO_CLIENT, then the server sends the initial
   AUTH command, and the client responds with either ACCEPT or REJECT.
   In addition, if the AUTH_HOW bit is set to AUTH_HOW_MUTUAL, and the
   client responds with ACCEPT, then the server then sends a CHALLENGE,
   and the client sends a RESPONSE.

認証タイプ組の2番目の八重奏でAUTH_SERVER_TO_CLIENTにAUTH_WHOビットを設定するなら、サーバは初期のAUTHコマンドを送ります、そして、クライアントはACCEPTかREJECTのどちらかと共に応じます。 さらに、次に、AUTH_HOWビットがAUTH_HOW_MUTUALに設定されて、クライアントがACCEPTと共に応じるなら、サーバはCHALLENGEを送ります、そして、クライアントはRESPONSEを送ります。

   The authenticator (Kerberos Principal) used is of the form
   "rcmd.host@realm".

(Kerberosプリンシパル)が使用した固有識別文字はフォーム" rcmd.host@realm "のものです。

4.  Examples

4. 例

   User "joe" may wish to log in as user "pete" on machine "foo".  If
   "pete" has set things up on "foo" to allow "joe" access to his

ユーザ"joe"はマシン"foo"のユーザ"pete"としてログインしたがっているかもしれません。 "pete"が彼のものへの"joe"アクセスを許すために"foo"で膳立てしたなら

Telnet Working Group                                            [Page 2]

RFC 1411             Kerberos Version 4 for Telnet          January 1993

telnet1993年1月のためのtelnetワーキンググループ[2ページ]RFC1411ケルベロスバージョン4

   account, then the client would send IAC SB AUTHENTICATION NAME "pete"
   IAC SE IAC SB AUTHENTICATION IS KERBEROS_V4 AUTH <joe's kerberos
   ticket> IAC SE The server would then authenticate the user as "joe"
   from the ticket information, and since "pete" is allowing "joe" to
   use his account, the server would send back ACCEPT.  If mutual
   authentication is being used, the the client would send a CHALLENGE,
   and verify the RESPONSE that the server sends back.

次に、クライアントはユーザに"joe"としてチケット情報から次にサーバが認証するIAC SB AUTHENTICATION NAME"pete"IAC SE IAC SB AUTHENTICATION IS KERBEROS_V4 AUTH<joeのkerberosチケット>IAC SEに行かせるでしょう、そして、説明してください、そして、"joe"が"pete"で彼のアカウントを使用できるので、サーバはACCEPTを返送するでしょう。 互いの認証が使用されているなら、クライアントは、挑戦状を送っていて、サーバが返送するRESPONSEについて確かめるでしょう。

       Client                           Server
                                        IAC DO AUTHENTICATION
       IAC WILL AUTHENTICATION
       [ The server is now free to request authentication information.
         ]
                                        IAC SB AUTHENTICATION SEND
                                        KERBEROS_V4 CLIENT|MUTUAL
                                        KERBEROS_V4 CLIENT|ONE_WAY IAC
                                        SE
       [ The server has requested mutual Version 4 Kerberos
         authentication.  If mutual authentication is not supported,
         then the server is willing to do one-way authentication.

クライアントServer IAC DO AUTHENTICATION IAC WILL AUTHENTICATION[サーバは現在、無料で認証情報を要求できます。] IAC SB認証はケルベロス_V4クライアントを送ります。|互いのケルベロス_V4クライアント|サーバは互いのバージョンの4つのケルベロスの認証を要求しました。ONE_WAY IAC SE、[互いの認証がサポートされないなら、サーバは、一方向認証をしても構わないと思っています。

         The client will now respond with the name of the user that it
         wants to log in as, and the Kerberos ticket.  ]
       IAC SB AUTHENTICATION NAME
       "pete" IAC SE
       IAC SB AUTHENTICATION IS
       KERBEROS_V4 CLIENT|MUTUAL AUTH
       <kerberos ticket information>
       IAC SE
       [ The server responds with an ACCEPT command to state that the
         authentication was successful.  ]
                                        IAC SB AUTHENTICATION REPLY
                                        KERBEROS_V4 CLIENT|MUTUAL ACCEPT
                                        IAC SE
       [ Next, the client sends across a CHALLENGE to verify that it is
         really talking to the right server.  ]
       IAC SB AUTHENTICATION IS
       KERBEROS_V4 CLIENT|MUTUAL
       CHALLENGE xx xx xx xx xx xx xx
       xx IAC SE
       [ Lastly, the server sends across a RESPONSE to prove that it
         really is the right server.
                                        IAC SB AUTHENTICATION REPLY
                                        KERBEROS_V4 CLIENT|MUTUAL
                                        RESPONSE yy yy yy yy yy yy yy yy
                                        IAC SE

クライアントは現在、それがログインしたがっているユーザの名前、およびケルベロスチケットで応じるでしょう。 ] IAC SB認証名前"pete"IAC SE IAC SB認証はケルベロス_V4クライアントです。|MUTUAL AUTH<はチケット情報>IAC SEをkerberosします。[サーバは認証がうまくいったと述べるACCEPTコマンドで反応します。 ] IAC SB認証回答ケルベロス_V4クライアント|MUTUAL ACCEPT IAC SE[次に、クライアントはそれが本当に正しいサーバと話していることを確かめるためにCHALLENGEの向こう側に発信します。] IAC SB認証はケルベロス_V4クライアントです。|MUTUAL CHALLENGE xx xx xx xx xx xx xx xx IAC SE、[最後に、サーバはそれが本当に正しいサーバであると立証するRESPONSEの向こう側に. IAC SB AUTHENTICATION REPLY KERBEROS_V4 CLIENTを送ります。|MUTUAL RESPONSE yy yy yy yy yy yy yy yy IAC SE

Telnet Working Group                                            [Page 3]

RFC 1411             Kerberos Version 4 for Telnet          January 1993

telnet1993年1月のためのtelnetワーキンググループ[3ページ]RFC1411ケルベロスバージョン4

Security Considerations

セキュリティ問題

   The ability to negotiate a common authentication mechanism between
   client and server is a feature of the authentication option that
   should be used with caution.  When the negotiation is performed, no
   authentication has yet occurred.  Therefore, each system has no way
   of knowing whether or not it is talking to the system it intends.  An
   intruder could attempt to negotiate the use of an authentication
   system which is either weak, or already compromised by the intruder.

クライアントとサーバの間の一般的な認証機構を交渉する能力は慎重に使用されるべきである認証オプションの特徴です。 交渉が実行されるとき、認証は全くまだ起こっていません。 したがって、各システムには、それが意図するシステムと話しているかどうかを知る方法が全くありません。 侵入者は、弱い認証システムの使用を交渉するのを試みることができたか、または侵入者で既に妥協しました。

Author's Address

作者のアドレス

   David A. Borman, Editor
   Cray Research, Inc.
   655F Lone Oak Drive
   Eagan, MN 55123

デヴィッド・A.ボーマン、エディタのクレイ・リサーチ655FひとりのオークDriveイーガン、ミネソタ 55123

   Phone: (612) 452-6650
   EMail: dab@CRAY.COM

以下に電話をしてください。 (612) 452-6650 メールしてください: dab@CRAY.COM

   Mailing List: telnet-ietf@CRAY.COM

メーリングリスト: telnet-ietf@CRAY.COM

Chair's Address

議長のアドレス

   The working group can be contacted via the current chair:

現在のいすを通してワーキンググループに連絡できます:

   Steve Alexander
   INTERACTIVE Systems Corporation
   1901 North Naper Boulevard
   Naperville, IL 60563-8895

北のNaper Boulevardナパービル、スティーブ・アレクサンダーINTERACTIVEのシステム社1901のIL60563-8895

   Phone: (708) 505-9100 x256
   EMail: stevea@isc.com

以下に電話をしてください。 (708) 505-9100x256 EMail: stevea@isc.com

Telnet Working Group                                            [Page 4]

telnetワーキンググループ[4ページ]