home *** CD-ROM | disk | FTP | other *** search
/ SGI Developer Toolbox 6.1 / SGI Developer Toolbox 6.1 - Disc 4.iso / documents / RFC / rfc1414.txt < prev    next >
Text File  |  1994-08-01  |  14KB  |  396 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                       M. St. Johns
  8. Request for Comments: 1414                      US Department of Defense
  9.                                                                  M. Rose
  10.                                             Dover Beach Consulting, Inc.
  11.                                                            February 1993
  12.  
  13.  
  14.                            Identification MIB
  15.  
  16. Status of this Memo
  17.  
  18.    This RFC specifies an IAB standards track protocol for the Internet
  19.    community, and requests discussion and suggestions for improvements.
  20.    Please refer to the current edition of the "IAB Official Protocol
  21.    Standards" for the standardization state and status of this protocol.
  22.    Distribution of this memo is unlimited.
  23.  
  24. Abstract
  25.  
  26.    This memo defines a MIB for use with identifying the users associated
  27.    with TCP connections.  It provides functionality approximately
  28.    equivalent to that provided by the protocol defined in RFC 1413 [1].
  29.    This document is a product of the TCP Client Identity Protocol
  30.    Working Group of the Internet Engineering Task Force (IETF).
  31.  
  32. Table of Contents
  33.  
  34.    1. The Network Management Framework .......................    2
  35.    2. Identification MIB .....................................    3
  36.    3. Definitions ............................................    3
  37.    3.1 Conformance Groups ....................................    3
  38.    3.2 Textual Conventions ...................................    3
  39.    3.3 The Ident information Group ...........................    3
  40.    4. Security Considerations ................................    6
  41.    5. References .............................................    6
  42.    6. Authors' Addresses .....................................    7
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. St. Johns & Rose                                                [Page 1]
  59.  
  60. RFC 1414                   Identification MIB              February 1993
  61.  
  62.  
  63. 1.  The Network Management Framework
  64.  
  65.    The Internet-standard Network Management Framework consists of three
  66.    components.  They are:
  67.  
  68.       STD 16/RFC 1155 [2] which defines the SMI, the mechanisms used for
  69.       describing and naming objects for the purpose of management.  STD
  70.       16/RFC 1212 [3] defines a more concise description mechanism,
  71.       which is wholly consistent with the SMI.
  72.  
  73.       STD 17/RFC 1213 [4] which defines MIB-II, the core set of managed
  74.       objects for the Internet suite of protocols.
  75.  
  76.       STD 15/RFC 1157 [5] which defines the SNMP, the protocol used for
  77.       network access to managed objects.
  78.  
  79.    The Framework permits new objects to be defined for the purpose of
  80.    experimentation and evaluation.
  81.  
  82.    Managed objects are accessed via a virtual information store, termed
  83.    the Management Information Base or MIB.  Within a given MIB module,
  84.    objects are defined using RFC 1212's OBJECT-TYPE macro.  At a
  85.    minimum, each object has a name, a syntax, an access-level, and an
  86.    implementation-status.
  87.  
  88.    The name is an object identifier, an administratively assigned name,
  89.    which specifies an object type.  The object type together with an
  90.    object instance serves to uniquely identify a specific instantiation
  91.    of the object.  For human convenience, we often use a textual string,
  92.    termed the object descriptor, to also refer to the object type.
  93.  
  94.    The syntax of an object type defines the abstract data structure
  95.    corresponding to that object type.  The ASN.1 [6] language is used
  96.    for this purpose.  However, RFC 1155 purposely restricts the ASN.1
  97.    constructs which may be used.  These restrictions are explicitly made
  98.    for simplicity.
  99.  
  100.    The access-level of an object type defines whether it makes "protocol
  101.    sense" to read and/or write the value of an instance of the object
  102.    type.  (This access-level is independent of any administrative
  103.    authorization policy.)
  104.  
  105.    The implementation-status of an object type indicates whether the
  106.    object is mandatory, optional, obsolete, or deprecated.
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. St. Johns & Rose                                                [Page 2]
  115.  
  116. RFC 1414                   Identification MIB              February 1993
  117.  
  118.  
  119. 2.  Identification MIB
  120.  
  121.    The Identification MIB defines a uniform set of objects useful for
  122.    identifying users associated with TCP connections.  End-systems which
  123.    support TCP may, at their option, implement this MIB.  However,
  124.    administrators should read Section 4 ("Security Considerations")
  125.    before enabling these MIB objects.
  126.  
  127. 3.  Definitions
  128.  
  129.           RFC1414-MIB DEFINITIONS ::= BEGIN
  130.  
  131.           IMPORTS
  132.               OBJECT-TYPE
  133.                   FROM RFC-1212
  134.               tcpConnLocalAddress, tcpConnLocalPort,
  135.               tcpConnRemAddress, tcpConnRemPort
  136.                       FROM RFC1213-MIB;
  137.  
  138.  
  139.           ident   OBJECT IDENTIFIER ::= { mib-2 24 }
  140.  
  141.  
  142.           -- conformance groups
  143.  
  144.           identInfo       OBJECT IDENTIFIER ::= { ident 1 }
  145.  
  146.  
  147.           -- textual conventions
  148.  
  149.           -- none
  150.  
  151.           -- the ident information system group
  152.           --
  153.           -- implementation of this group is mandatory
  154.  
  155.           identTable OBJECT-TYPE
  156.                   SYNTAX  SEQUENCE OF IdentEntry
  157.                   ACCESS  not-accessible
  158.                   STATUS  mandatory
  159.                   DESCRIPTION
  160.                       "A table containing user information for TCP
  161.                       connections.
  162.  
  163.                       Note that this table contains entries for all TCP
  164.                       connections on a managed system.  The
  165.                       corresponding instance of tcpConnState (defined in
  166.                       MIB-II) indicates the state of a particular
  167.  
  168.  
  169.  
  170. St. Johns & Rose                                                [Page 3]
  171.  
  172. RFC 1414                   Identification MIB              February 1993
  173.  
  174.  
  175.                       connection."
  176.                   ::= { identInfo 1 }
  177.  
  178.           identEntry OBJECT-TYPE
  179.                   SYNTAX  IdentEntry
  180.                   ACCESS  not-accessible
  181.                   STATUS  mandatory
  182.                   DESCRIPTION
  183.                       "User information about a particular TCP
  184.                       connection."
  185.                   INDEX   { tcpConnLocalAddress, tcpConnLocalPort,
  186.                             tcpConnRemAddress, tcpConnRemPort }
  187.                   ::= { identTable 1 }
  188.  
  189.           IdentEntry ::=
  190.               SEQUENCE {
  191.                   identStatus     INTEGER,
  192.                   identOpSys      OCTET STRING,
  193.                   identCharset    OCTET STRING,
  194.                   identUserid     OCTET STRING,
  195.                   identMisc       OCTET STRING
  196.               }
  197.  
  198.           identStatus OBJECT-TYPE
  199.                   SYNTAX  INTEGER {
  200.                               noError(1),
  201.                               unknownError(2)
  202.                           }
  203.                   ACCESS  read-only
  204.                   STATUS  mandatory
  205.                   DESCRIPTION
  206.                       "Indicates whether user information for the
  207.                       associated TCP connection can be determined.  A
  208.                       value of `noError(1)' indicates that user
  209.                       information is available.  A value of
  210.                       `unknownError(2)' indicates that user information
  211.                       is not available."
  212.                   ::= { identEntry 1 }
  213.  
  214.           identOpSys OBJECT-TYPE
  215.                   SYNTAX  OCTET STRING (SIZE(0..40))
  216.                   ACCESS  read-only
  217.                   STATUS  mandatory
  218.                   DESCRIPTION
  219.                       "Indicates the type of operating system in use.
  220.                       In addition to identifying an operating system,
  221.                       each assignment made for this purpose also
  222.                       (implicitly) identifies the textual format and
  223.  
  224.  
  225.  
  226. St. Johns & Rose                                                [Page 4]
  227.  
  228. RFC 1414                   Identification MIB              February 1993
  229.  
  230.  
  231.                       maximum size of the corresponding identUserid and
  232.                       identMisc objects.
  233.  
  234.                       The legal values for the `indentOpSys' strings
  235.                       are those listed in the SYSTEM NAMES section of
  236.                       the most recent edition of the ASSIGNED NUMBERS
  237.                       RFC [8]."
  238.                   ::= { identEntry 2 }
  239.  
  240.  
  241.           identCharset OBJECT-TYPE
  242.                   SYNTAX  OCTET STRING (SIZE(0..40))
  243.                   ACCESS  read-only
  244.                   STATUS  mandatory
  245.                   DESCRIPTION
  246.                       "Indicates the repertoire of the corresponding
  247.                       identUserid and identMisc objects.
  248.  
  249.                       The legal values for the `identCharset' strings
  250.                       are those listed in the CHARACTER SET section of
  251.                       the most recent edition of the ASSIGNED NUMBERS
  252.                       RFC [8]."
  253.                   ::= { identEntry 3 }
  254.  
  255.           identUserid OBJECT-TYPE
  256.                   SYNTAX  OCTET STRING (SIZE (0..255))
  257.                   ACCESS  read-only
  258.                   STATUS  mandatory
  259.                   DESCRIPTION
  260.                       "Indicates the user's identity.  Interpretation of
  261.                       this object requires examination of the
  262.                       corresponding value of the identOpSys and
  263.                       identCharset objects."
  264.                   ::= { identEntry 4 }
  265.  
  266.           identMisc OBJECT-TYPE
  267.                   SYNTAX  OCTET STRING (SIZE (0..255))
  268.                   ACCESS  read-only
  269.                   STATUS  mandatory
  270.                   DESCRIPTION
  271.                       "Indicates miscellaneous information about the
  272.                       user.  Interpretation of this object requires
  273.                       examination of the corresponding value of the
  274.                       identOpSys and identCharset objects."
  275.                   ::= { identEntry 5 }
  276.  
  277.  
  278.           END
  279.  
  280.  
  281.  
  282. St. Johns & Rose                                                [Page 5]
  283.  
  284. RFC 1414                   Identification MIB              February 1993
  285.  
  286.  
  287. 4.  Security Considerations
  288.  
  289.    The information available through this MIB is at most as trustworthy
  290.    as the host providing it OR the organization operating the host.  For
  291.    example, a PC in an open lab has few if any controls on it to prevent
  292.    a user from having an SNMP query return any identifier the user
  293.    wants.  Likewise, if the host has been compromised the information
  294.    returned may be completely erroneous and misleading.
  295.  
  296.    This portion of the MIB space should only be used to gain hints as to
  297.    who "owns" a particular TCP connection -- information returned should
  298.    NOT be considered authoritative for at least the reasons described
  299.    above.  At best, this MIB provides some additional auditing
  300.    information with respect to TCP connections.  At worse it can provide
  301.    misleading, incorrect or maliciously incorrect information.
  302.  
  303.    The use of the information contained in this MIB for other than
  304.    auditing or normal network management functions is strongly
  305.    discouraged.  Specifically, using information from this MIB space to
  306.    make access control decisions - either as the primary method (i.e.,
  307.    no other checks) or as an adjunct to other methods may result in a
  308.    weakening of normal system security.
  309.  
  310.    This MIB provides access to information about users, entities,
  311.    objects or processes which some systems might normally consider
  312.    private.  The information accessible through this MIB is a rough
  313.    analog of the CallerID services provided by some phone companies and
  314.    many of the same privacy consideration and arguments that apply to
  315.    CallerID service apply to this MIB space.  If you wouldn't run a
  316.    "finger" server [7] due to privacy considerations, you might not want
  317.    to provide access to this MIB space on a general basis.  Access to
  318.    this portion of the MIB tree may be controlled under the normal
  319.    methods available through SNMP agent implementations.
  320.  
  321. 7.  References
  322.  
  323.    [1] St. Johns, M., "Identification Protocol", RFC 1413, US Department
  324.        of Defense, February 1993.
  325.  
  326.    [2] Rose M., and K. McCloghrie, "Structure and Identification of
  327.        Management Information for TCP/IP-based internets", STD 16, RFC
  328.        1155, Performance Systems International, Hughes LAN Systems, May
  329.        1990.
  330.  
  331.    [3] Rose, M., and K. McCloghrie, Editors, "Concise MIB Definitions",
  332.        STD 16, RFC 1212, Performance Systems International, Hughes LAN
  333.        Systems, March 1991.
  334.  
  335.  
  336.  
  337.  
  338. St. Johns & Rose                                                [Page 6]
  339.  
  340. RFC 1414                   Identification MIB              February 1993
  341.  
  342.  
  343.    [4] McCloghrie K., and M. Rose, Editors, "Management Information Base
  344.        for Network Management of TCP/IP-based internets", STD 17, RFC
  345.        1213, Performance Systems International, March 1991.
  346.  
  347.    [5] Case, J., Fedor, M., Schoffstall, M., and J. Davin, "Simple
  348.        Network Management Protocol", STD 15, RFC 1157, SNMP Research,
  349.        Performance Systems International, Performance Systems
  350.        International, MIT Laboratory for Computer Science, May 1990.
  351.  
  352.    [6] Information processing systems - Open Systems Interconnection -
  353.        Specification of Abstract Syntax Notation One (ASN.1),
  354.        International Organization for Standardization, International
  355.        Standard 8824, December 1987.
  356.  
  357.    [7] Zimmerman, D., "The Finger User Information Protocol", RFC 1288,
  358.        Center for Discrete Mathematics and Theoretical Computer Science,
  359.        December 1991.
  360.  
  361.    [8] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1340,
  362.        USC/Information Sciences Institute, July 1992.
  363.  
  364. 8. Authors' Addresses
  365.  
  366.        Michael C. St. Johns
  367.        U.S. Department of Defense
  368.        DARPA/CSTO
  369.        3701 N. Fairfax Dr
  370.        Arlington, VA 22203
  371.  
  372.        Phone: (703) 696-2271
  373.        EMail: stjohns@DARPA.MIL
  374.  
  375.  
  376.        Marshall T. Rose
  377.        Dover Beach Consulting, Inc.
  378.        420 Whisman Court
  379.        Mountain View, CA 94043-2186
  380.  
  381.        Phone: (415) 968-1052
  382.        EMail: mrose@dbc.mtview.ca.us
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. St. Johns & Rose                                                [Page 7]
  395.  
  396.