home *** CD-ROM | disk | FTP | other *** search
/ Internet Surfer: Getting Started / Internet Surfer - Getting Started (Wayzata Technology)(7231)(1995).bin / pc / textfile / faqs / kerb_faq / user
Encoding:
Internet Message Format  |  1995-01-01  |  24.9 KB
  1. Xref: bloom-picayune.mit.edu comp.protocols.kerberos:1896 news.answers:4614
  2. Newsgroups: comp.protocols.kerberos,news.answers
  3. Path: bloom-picayune.mit.edu!athena.mit.edu!bjaspan
  4. From: bjaspan@athena.mit.edu (Barry Jaspan)
  5. Subject: Kerberos Users' Frequently Asked Questions 1.2
  6. Message-ID: <kerberos-faq/user_724468225@athena.mit.edu>
  7. Followup-To: poster
  8. Summary: This document answers Frequently Asked Questions about the
  9.     Kerberos authentication system.  Read this before you post a
  10.     question to comp.protocols.kerberos or kerberos@athena.mit.edu.
  11. Sender: news@athena.mit.edu (News system)
  12. Supersedes: <kerberos-faq/user_720896226@athena.mit.edu>
  13. Nntp-Posting-Host: bill-the-cat.mit.edu
  14. Organization: Aktis, Inc.
  15. Date: Wed, 16 Dec 1992 01:10:35 GMT
  16. Approved: news-answers-request@mit.edu
  17. Expires: Wed, 13 Jan 1993 01:10:25 GMT
  18. Lines: 549
  19.  
  20. Archive-name: kerberos-faq/user
  21. Version: 1.2
  22.  
  23. Kerberos Users' Frequently Asked Questions
  24. December 15, 1992
  25. Compiled by: Barry Jaspan, <bjaspan@athena.mit.edu>
  26.              Aktis, Inc.
  27.  
  28.      Kerberos; also spelled Cerberus.  "n.  The watch dog of
  29.      Hades, whose duty it was to guard the entrance--against
  30.      whom or what does not clearly appear; .  . . is known to
  31.      have had three heads. . ."
  32.  
  33.         -Ambrose Bierce, The Enlarged Devil's Dictionary
  34.  
  35. This document answers Frequently Asked Questions about the Kerberos
  36. authentication system.  It is freely distributable.  Direct all
  37. responses and questions to bjaspan@athena.mit.edu.  Most of the
  38. information presented here has been collected from postings to the
  39. comp.protocols.kerberos newsgroup (gatewayed to the mailing list
  40. kerberos@athena.mit.edu) and in general credit has not been given;
  41. complain if you feel offended.
  42.  
  43. DISCLAIMER: Aktis, Inc., makes no representations about the
  44. suitability of this information for any purpose.  It is provided "as
  45. is" without express or implied warranty.  In particular, this document
  46. is not intended as legal advice for exporting Kerberos, DES, or any
  47. other encryption software.
  48.  
  49. Please make suggestions and contribute any information that you can.
  50.  
  51. Questions addressed in this release:
  52.     (a * indicates that no answer is currently available)
  53.  
  54. 1.  Kerberos and its Many Incarnations
  55. ----------------------------------------------------------------------
  56.  
  57. (1.1)    What is Kerberos?  What is it good for?
  58. (1.2)    Where can I get Kerberos version 4 or 5?
  59. (1.3)    What is the current status of version 4?
  60. (1.4)    What is the current status of version 5?
  61. (1.5)    Are version 4 and version 5 compatible?
  62. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  63.     Can they interoperate?
  64. (1.7)*    How/why is OSF DCE Kerberos different from MIT Kerberos V5?
  65.     Can they interoperate?
  66. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  67.     Can they interoperate?
  68. (1.9)    What is Bones?  What is it for?
  69.  
  70. 2.  Using and Administering Kerberos
  71. ----------------------------------------------------------------------
  72.  
  73. (2.1)    Can I use Kerberos for local password validation?
  74. (2.2)    What is the export status of Kerberos?
  75. (2.3)    How can I delete a principal from the database?
  76. (2.4)    What are the officially assigned Kerberos port numbers?
  77. (2.5)    Are there Kerberos versions of telnet and ftpd?
  78.     What other Kerberos clients exist?
  79. (2.6)    Why does rlogin print "Warning: No Kerberos tickets obtained"?
  80. (2.7)    What operating systems has Kerberos been ported to?
  81.     What vendors provide commercial support for Kerberos?
  82.  
  83. 3.  Building and Installing Kerberos
  84. ----------------------------------------------------------------------
  85.  
  86. (3.1)    Why do I get an error message from ld when make_commands is
  87.     executed?
  88. (3.2)    Why doesn't KRB5_defs.h exist when I build version 5?
  89.  
  90. 4.  Miscellaneous
  91. ----------------------------------------------------------------------
  92.  
  93. (4.1)    List references for Kerberos and network security in general.
  94. (4.2)    Where are archives of comp.protocols.kerberos (a.k.a 
  95.     kerberos@athena.mit.edu)?
  96.  
  97. ======================================================================
  98.  
  99. 1.  Kerberos and its Many Incarnations
  100. ----------------------------------------------------------------------
  101.  
  102. (1.1)    What is Kerberos?  What is it good for?
  103.  
  104. The following is an excerpt from [1]:
  105.  
  106.    Kerberos is a trusted third-party authentication service based on
  107.    the model presented by Needham and Schroeder.[3] It is trusted in
  108.    the sense that each of its clients believes Kerberos' judgement as
  109.    to the identity of each of its other clients to be accurate.
  110.  
  111. [This really isn't a very good description.]
  112.  
  113. It is important to realize that Kerberos is a one-trick pony.  It
  114. provides for mutual authentication between principals on an open
  115. network.  It does not provide a mechanism for authorization; that is
  116. left to the application.  It also does not provide password validation
  117. for individual workstations unless care is taken; see question 2.1.
  118.  
  119. (1.2)    Where can I get Kerberos version 4 or 5?
  120.  
  121. In the United States and Canada (*), Kerberos is available via
  122. anonymous FTP from athena-dist.mit.edu (18.71.0.38).  For specific
  123. instructions, cd to pub/kerberos and get the file README.KRB4 (for
  124. version 4) or README.KRB5_BETA2 (for version 5).  Note that *YOU WILL
  125. NOT BE ABLE TO RETRIEVE KERBEROS WITHOUT READING THIS FILE*.
  126.  
  127. Outside the United States, you can get Bones via anonymous ftp from
  128. ftp.funet.fi (128.214.6.100) in pub/unix/security/kerberos.  A DES
  129. library is available from the same place.  See question 1.9 for
  130. information on Bones.
  131.  
  132. (*) Kerberos and DES can be exported to Canada.  See question 2.2.
  133.  
  134. (1.3)    What is the current status of version 4?
  135.  
  136. With the release of patch level 10 on December 10, 1992, MIT Kerberos
  137. 4 is now in its final form.  MIT does not anticipate ever making a new
  138. Kerberos 4 release.
  139.  
  140. Several vendors provide their own versions of Kerberos which may
  141. contain improvements or extensions; see question 2.7.
  142.  
  143. (1.4)    What is the current status of version 5?
  144.  
  145. A new beta release of MIT Kerberos V5 is available as of September 30,
  146. 1992; see question 1.2.  This release brings MIT's implementation into
  147. full compliance with the current protocol.  It is not backwards
  148. compatible with the previous beta release; according to MIT, this is
  149. the last release that will contain non-backwards compatible changes.
  150.  
  151. (1.5)    Are version 4 and version 5 compatible?
  152.  
  153. No.  Versions 4 and 5 are based on completely different protocols.
  154. The MIT Kerberos V5 distribution contains some compatibility code,
  155. however: (a) there is a library which converts Kerberos V4 library
  156. calls into Kerberos V5 requests, so you can run many V4 programs in a
  157. V5 environment by relinking; (b) the Kerberos server can optionally
  158. service V4 requests; (c) there is a program to convert a V4 format
  159. Kerberos database to a V5 format database.  The names used by the V5
  160. library have a prefix "krb5_" so they do not conflict with the V4
  161. library.
  162.  
  163. (1.6)    How/why is Transarc's Kerberos different from MIT Kerberos V4?
  164.     Can they interoperate?
  165.  
  166. This is a fairly complex question, and my answer is almost guaranteed
  167. to be incomplete.  The issue is regularly discussed on the
  168. info-afs-kerberos@transarc.com mailing list; send mail to the -request
  169. list for subscriptions.
  170.  
  171. Years ago, the designers of AFS decided to implement their own
  172. security system based on the Kerberos specification instead of using
  173. the (then, not yet publicly available) MIT Kerberos V4.  As a result,
  174. Transarc's AFS Kerberos speaks a different protocol but also
  175. understands the MIT Kerberos V4 protocol.  They can, in principal,
  176. talk to each other; however, there are a sufficient number of annoying
  177. details and an insufficient number of advantages such that it may not
  178. be practical.
  179.  
  180. The two versions use a different string-to-key function (the algorithm
  181. that turns a password into a DES key); the AFS version uses the realm
  182. name as part of the computation while the MIT version does not.  A
  183. program that uses a password to acquire a ticket (e.g.  kinit or
  184. login) will only work with one version.
  185.  
  186. The two versions also use a different method of finding Kerberos
  187. servers.  MIT Kerberos uses /etc/krb.conf and /etc/krb.realms to map
  188. hostnames to realms and realms to Kerberos servers.  AFS kaservers for
  189. a realm, by definition, are located on the AFS database servers and
  190. can therefore be located using /usr/vice/etc/CellServDB.  This means
  191. that a program built using the MIT Kerberos libraries will look in one
  192. place for the information while a program built using the AFS Kerberos
  193. libraries will look in another.  You can certainly set up all three
  194. files and use both libraries, but be sure that everything is
  195. consistent.
  196.  
  197. The two versions have a different password changing protocol, so you
  198. must use the correct 'kpasswd' program for the server you are talking
  199. to.  In general, AFS clients that talk directly to the kaserver use an
  200. Rx-based protocol, instead of UDP as with MIT Kerberos, so those AFS
  201. clients cannot talk to an MIT server.
  202.  
  203. In summary, AFS Kerberos and MIT Kerberos can interoperate once you've
  204. acquired a ticket granting ticket, which you can do with kinit (MIT)
  205. or klog (AFS, use the version that writes a ticket file).  With a tgt,
  206. Kerberos applications such as rlogin can talk to an MIT or AFS
  207. Kerberos server and achieve correct results.  However, it is probably
  208. best to pick one implementation and use it exclusively
  209.  
  210. (1.7)*    How/why is OSF DCE Kerberos different from MIT Kerberos V5?
  211.     Can they interoperate?
  212.  
  213. (1.8)    How/why is DEC Ultrix Kerberos different from MIT Kerberos V4?
  214.     Can they interoperate?
  215.  
  216. DEC ULTRIX contains Kerberos for a single reason, namely, to provide
  217. authenticated name service for the ULTRIX enhanced security option.
  218. It does not support user-level authentication in the normal manner.
  219.  
  220. DEC's version is essentially the same as (and derived from) MIT
  221. Kerberos V4 with a few changes.  The most significant change is that
  222. the ability to perform any kind of end-to-end user data encryption has
  223. been eliminated in order to comply with export restrictions.  Minor
  224. changes include the placement of ticket files (/var/dss/kerberos/tkt
  225. vs. /tmp) and the principal names used by some standard Kerberos
  226. services (e.g.: kprop vs. rcmd); there are probably other minor
  227. changes as well.
  228.  
  229. These changes make it annoying but not impossible to use DEC ULTRIX
  230. Kerberos in the normal way.  However, there is no reason at all to do
  231. so, because the MIT distribution supports ULTRIX directly.  [This may
  232. not be completely true.  I imagine that using ULTRIX Kerberos for
  233. enhanced security and MIT's Kerberos at the same time would cause
  234. problems.  Has anyone tried this?]
  235.  
  236. (1.9)    What is Bones?  What is it for?
  237.  
  238. Bones is a system that provides the Kerberos API without using
  239. encryption and without providing any form of security whatsoever.  It
  240. is a fake that allows the use of software that expects Kerberos to be
  241. present when it cannot be.
  242.  
  243. Why does it exist?  Kerberos is a network security system which relies
  244. on cryptographic methods for its security.  Since Kerberos' encryption
  245. system, DES, is not exportable, Kerberos itself cannot be exported or
  246. used outside of the United States in its original form.  (See question
  247. 2.2 for more information.)
  248.  
  249. As a partial solution to this problem, the Kerberos source code was
  250. modified by the addition of #ifdef NOENCRYPTION around all calls to
  251. DES functions.  Compiling this version with the symbol NOENCRYPTION
  252. defined results in a system that looks like Kerberos from an
  253. application's point of view but that does not require DES libraries
  254. (and, as a result, does not speak the real Kerberos protocol and does
  255. not provide any security).
  256.  
  257. The final piece in this puzzle is a program called "piranha" which
  258. takes the Kerberos sources and removes all of the calls to the
  259. encryption routines, replacing it with the code which was under #ifdef
  260. NOENCRYPTION, producing the system known as Bones.  Bones has the
  261. property that there is absolutely no question about whether or not it
  262. is legal to transport its sources across national boundaries, since it
  263. neither has any encryption routines nor any calls to encryption
  264. routines.
  265.  
  266. #ifdef NOENCRYPTION was not documented, and it was only intended to be
  267. used in the above manner.  Someone who tries compiling Kerberos with
  268. that #define has in some sense "voided the warranty", and will get
  269. something which is both (a) not secure and (b) not Kerberos.
  270.  
  271. 2.  Using and Administering Kerberos
  272. ----------------------------------------------------------------------
  273.  
  274. (2.1)    Can I use Kerberos for local password validation?
  275.  
  276. Yes, but only under certain circumstances and only if you are
  277. careful.
  278.  
  279. Requests for Kerberos ticket granting tickets (tgts) (e.g. from kinit
  280. or login) are sent in plaintext to the Kerberos server, which then
  281. responds with credentials encrypted in the requesting principal's
  282. secret key.  The program then attempts to decrypt the data with the
  283. supplied password and considers the authentication "successful" if the
  284. decryption appears to yield meaningful results (such as the correct
  285. principal name).
  286.  
  287. The problem here is that the requesting program cannot know for sure
  288. whether the decryption succeeded or, more importantly, whether the
  289. response actually came from the Kerberos server.  An attacker could,
  290. for example, walk up to an unattended machine and "log in" as a
  291. non-existent user.  Kerberos will eventually respond with an
  292. appropriate error, but the attacker can arrange for another program to
  293. deliver a fake response to login first; he then types the correct
  294. password (which he knows because he created the fake response in the
  295. first place) and succeeds in spoofing login.
  296.  
  297. The solution to this problem is for login to verify the tgt by using
  298. it to acquire a service ticket with a known key and comparing the
  299. results.  Typically, this means requesting an rcmd.<hostname> ticket,
  300. where <hostname> is the local hostname, and checking the response
  301. against the key store in the machine's /etc/srvtab file.  If the keys
  302. match then the original tgt must have come from Kerberos (since the
  303. key only exists in the srvtab and the Kerberos database), and login
  304. can allow the user to log in.
  305.  
  306. The solution works only so long as the host has a srvtab containing an
  307. rcmd.<hostname> (or any other standard principal) entry.  This is fine
  308. for physically secure or single-user workstations, but does not work
  309. on public workstations in which anyone could access the srvtab file.
  310.  
  311. (2.2)    What is the export status of Kerberos?
  312.  
  313. There is a tremendous amount of confusion on this topic.
  314.  
  315. In general, the COCOM treaty, signed by twenty or so countries
  316. including the United States, says that all cryptographic material will
  317. be treated as munitions.  This means that these countries treat
  318. exporting DES the same way they would treat exporting weapons, fighter
  319. planes, and other nasty stuff.  You cannot export such materials to
  320. any other country (except Canada**) without an export license.
  321.  
  322. However, it *is* possible to get an export license for Kerberos (DEC
  323. apparently has one for ULTRIX) provided it is hacked up in the correct
  324. way.  The correct way appears to include making it impossible to
  325. perform encryption on arbitrary user data; authentication is okay, but
  326. secrecy is not.  Since the Kerberos API provides this functionality,
  327. it must be carefully removed before an export license will be granted.
  328.  
  329. Of course, I am not a lawyer; this information is merely a collection
  330. of what others (who are also not lawyers) have said and should not be
  331. interpreted as legal advice.  If anyone out there has firm legal
  332. advice, feel free to contribute it.
  333.  
  334. **Canada has been granted a general exemption to DES export
  335. restrictions; the exemption is detailed in Title #22, Code of Federal
  336. Regulations, "International Traffic in Arms Rgulations," Section 126.5.
  337. You can export DES to Canada providing that it is not re-exported to
  338. another country and that the above regulation is referenced.  This
  339. information has been confirmed with Mr. Alan Sushinsky, Munitions
  340. Control, The State Department, (703) 875-6621.
  341.  
  342. (2.3)    How can I delete a principal from the database?
  343.  
  344. MIT Kerberos V4 does not include a single command to delete a Kerberos
  345. principal.  This was an intentional omission based on the assumption
  346. that by making deletion difficult, accidents were less likely to
  347. happen.  If you want to delete a principal, do "kdb_util dump", edit
  348. the ASCII dump with an editor, and do a "kdb_util load".  Obviously,
  349. you can write a shell script to make this more convenient.
  350.  
  351. AFS Kerberos' and Kerberos V5's admin tools have a simple delete
  352. request.
  353.  
  354. (2.4)    What are the officially assigned Kerberos port numbers?
  355.  
  356. The file src/prototypes/services.append in the MIT Kerberos
  357. distribution contains the commonly used port assignments.  This file
  358. is not the whole story, however.
  359.  
  360. "kerberos" has officially been moved to port 88, although people will
  361. have to listen on port 750 for some time to come, and assume
  362. that many servers won't be converted to listen to port 88 for some
  363. time.
  364.  
  365. "kerberos_master" and "krb_prop" have not been reserved, but they are
  366. only used for intra-site transactions so having them reserved probably
  367. isn't necessary.  Furthermore, both of their port numbers have already
  368. been assigned to other services, so requesting an official assignment
  369. will force them to change.
  370.  
  371. "eklogin", "kpop", and "erlogin" have not been officially reserved,
  372. but probably should be.  Their ports are not currently assigned to
  373. other services, so hopefully they will not have to change if an
  374. official assignment is requested.
  375.  
  376. (2.5)    Are there Kerberos versions of telnet and ftpd?
  377.  
  378. A Kerberos telnet is available via anonymous ftp from ftp.uu.net, in
  379. /networking/telnet.91.03.25.tar.Z.  There is also a Kerberos telnet in
  380. the V5 distribution which is based on the 4.4BSD telnet/telnetd.
  381. [NOTE: Telnet has been "temporarily" removed from the V5 beta 2
  382. release.]
  383.  
  384. A distributable Kerberos version of ftpd does not yet appear to exist.
  385.  
  386. (2.6)    Why does rlogin print "Warning: No Kerberos tickets obtained"?
  387.  
  388. Kerberos rlogin uses a standard Kerberos exchange to prove the
  389. identity of the user to the remote host, after which it uses the
  390. /etc/passwd and a .klogin file to determine whether the user is
  391. authorized to log in.
  392.  
  393. Since the user never types a password, klogind on the remote host
  394. cannot obtain a new ticket granting ticket.  The user's existing tgt
  395. cannot be used on the remote host, because MIT Kerberos V4 tickets are
  396. host-specific.  Therefore, even though the user has logged in to the
  397. remote host, there is no ticket granting ticket for the user available
  398. on the remote host.  The warning message is merely a reminder of this
  399. fact.
  400.  
  401. (2.7)    What operating systems has Kerberos been ported to?
  402.     What vendors provide commercial support for Kerberos?
  403.  
  404. Note: This was written by Greg Edwards, edwardsg@iscnvx.is.lmsc.lockheed.com.
  405.  
  406. The following is a list on Kerberos Ports that I know of as of 23 
  407. October 1992. If you have additional information please send it to me. 
  408. This listing is of announced ports, not ports that I have tested. In 
  409. addition, it does not mention any problems that I may be aware of or 
  410. heard rumors of in certain ports. Most vendors are trying to make their 
  411. Kerberos ports more complete and remove problems all the time, so this 
  412. chart will need updating soon.
  413.  
  414. Kerberos Ports Key (inside matrix)
  415. 4     K4 port done
  416. 5     Kerberos v5 port done 
  417. D     DCE version of Kerberos done
  418. d     DCE version of Kerberos being ported or planned
  419. p     porting version 4 at this time
  420. P     porting Kerberos v5
  421. h    planned port of v4
  422. H    planned port of v5
  423. t    Kerberos v4 being tested
  424. T    Kerberos v5 being tested
  425. A    Athena (of which Kerberos 4 is a part)
  426. -    no product known
  427.  
  428. Porting Companies (y-axis)
  429. c     Cygnus Support      Steve Wilson 415/433-3811 swilson@cygnus.com
  430.                 network-security@cygnus.com
  431. d       DEC (DECathena?)        John O'Hara 508/486-7402 
  432.                     johara@athena.lkg.dec.com
  433. e    Essex                Vince Stasio 508/532-5511
  434. f     FTP Software            Kristine Kilduff 617/246-0900 kpk@ftp.com
  435. i    IBM
  436. m    MIT release
  437. o    Open Computing Security Group    Dan Webb 206/883-8721 dwebb@ocsg.com
  438.                 or Bob Gassen 206/883-8721 bobg@ocsg.com
  439. p    Project Pilgrim        Art Gaylord 413/545-2420 art@cs.umass.edu
  440. r    Cisco Routers & Bridges
  441. t    TGV                    S. Vance 800/tgv-3440 vance@tgv.com
  442. .    Telebit 408/734-4333
  443. w    Wollongong         Denise Earhart 415/962-7211
  444. x    Xyplex (terminal server) Rich Fitzgerald 714/725-9489
  445. z    Product for one OEM/self
  446.  
  447. Notes: Cray Kerberos supplied as part of UNICOS 7.0, DCE version later
  448.         DECs Ultrix Kerberos does not authenticate users, only servers
  449.         DECAthena does authenticate users
  450.  
  451. Rumored ports by:
  452.     Emulex    714/662-5600
  453.       Gradient Technologies
  454.     HP
  455.       Transarc for AFS (Andrew File System) & makes DEC developers kits
  456.  
  457.  
  458. Kerberos Ports        23 Oct 1992
  459.  
  460. who        c  d  e  f  i  m  o   p  r  t  w  z  other
  461. Amdahl        -  -  -  -  -  -  -   -  -  -  -  4  -
  462. AIX 3.2    4      -  A  -  -  d  4  tT  -  -  -  -  P  -
  463. Cisco        -  -  -  -  -  -  -   -  -  -  -  p  -
  464. Convex        -  -  -  -  -  -  -   -  -  -  -  -  4  LMSC partial port of K4
  465. Cray        -  -  -  -  -  -  -   -  -  -  -  4d 4  LLNL partial port of K4
  466. HP        -  A  -  -  -  -  hT  -  -  -  -  -  d
  467. Intel Sv.4    -  -  -  -  -  4  H   -  -  -  -  -  d
  468. Irix 4.0.3    4  -  -  -  -  -  -   -  -  -  -  -  p
  469. Mac 6.x        p  -  -  -  -  4  4H  -  -  -  -  -  -
  470. Mac 7.x        p  -  -  -  -  4  4H  -  -  -  -  -  -
  471. MsDos        -  -  4  4  -  4  4H  -  -  -  -  -  -
  472. MVS        -  -  -  -  4  -  pP  -  -  -  -  4d -
  473. NCR        -  -  -  -  -  -  pH  -  -  -  -  -  -
  474. NCSATelnetPC    -  -  -  -  -  -  t   -  -  -  -  -  -
  475. NCSATelnetMac    -  -  -  -  -  -  t   -  -  -  -  -  -
  476. NeXT        -  -  -  -  -  4  4H  -  -  -  -  -  -
  477. who        c  d  e  f  i  m  o   p  r  t  w  z  other
  478. Novell        -  -  -  -  -  -  H   -  -  -  -  d  -
  479. OS/2        -  -  4  -  4d -  -   -  -  -  -  4  -
  480. Pyramid        -  -  -  -  -  -  H   -  -  -  -  p  -
  481. SCO        p  -  -  -  -  -  -   -  -  -  -  -  -
  482. SecDynamics    -  -  -  -  -  -  tH  -  -  -  -  -  -
  483. Sequent        -  -  -  -  -  -  4H  -  -  -  -  -  -
  484. Solaris 2.0    p  -  -  -  -  -  4T  -  -  -  -  d  4 Cray has a K4 port
  485. SunOS 4.0.1    4  A  -  -  -  4  4T  -  -  -  -  -  -  
  486. SunOS 4.1    4  A  -  -  -  4  4T  -  -  -  -  -  -
  487. Telebit        -  -  -  -  -  -  -   -  -  -  -  4  -  
  488. Ultrix 4.1    4  A4 -  -  -  4  -   -  -  -  -  4  -  
  489. VM        -  -  -  -  4  -  -   -  -  -  -  4  -
  490. VMS        -  -  -  -  -  -  -   4d -  4  4  -  -
  491. Win3.1        -  -  -  -  -  -  tH  -  -  -  -  -  p
  492. Xyplex        -  -  -  -  -  -  -   -  -  -  -  4  -
  493. who        c  d  e  f  i  m  o   p  r  t  w  z  other
  494.  
  495. Please send updates to Greg Edwards, edwardsg@iscnvx.is.lmsc.lockheed.com
  496.  
  497. 3.  Building and Installing Kerberos
  498. ----------------------------------------------------------------------
  499.  
  500. (3.1)    Why do I get an error message from ld when make_commands is
  501.     executed? 
  502.  
  503. The make_commands program (from the file util/ss/make_commands.c,
  504. around line 101) spawns ld as part of its normal operation.  The
  505. arguments to ld are hard-coded into the exec() call and are not
  506. correct for all systems.  To fix the problem, examine the call and
  507. determine the correct arguments for your environment; once you know
  508. the correct arguments, the change to the source code will be obvious.
  509.  
  510. (3.2)    Why doesn't KRB5-types.h exist when I build version 5?
  511.  
  512. There's a bug in Sun's imake/cpp setup, so the Makefile that is
  513. generated in lib/asn.1 is broken.  KRB5-types.h is generated by the
  514. ISODE program pepsy; look in the makefile just before pepsy is called.
  515. It's fairly obvious where a tab character is missing.
  516.  
  517. 4.  Miscellaneous
  518. ----------------------------------------------------------------------
  519.  
  520. (4.1)    List references for Kerberos and network security in general.
  521.  
  522. See the bibliography at the end of this document.
  523.  
  524. (4.2)    Where are archives of comp.protocols.kerberos (a.k.a 
  525.     kerberos@athena.mit.edu)?
  526.  
  527. Archives are available via anonymous FTP from athena-dist.mit.edu in
  528. the directory pub/kerberos/krb-mail.  The kerberos@athena.mit.edu
  529. archives prensently extend up to 24 September 1992.  Some archives of
  530. the kerberos protocol mailing list are also available.
  531.  
  532. ----------------------------------------------------------------------
  533.  
  534. BIBLIOGRAPHY
  535.  
  536. The FTP site for a reference, when known, is listed in square brackets
  537. following the entry.  Yes, I know that these are not in Officially
  538. Blessed Bibliography Format.  Sue me.
  539.  
  540. [1] Jennifer G. Steiner, Clifford Neuman, Jeffrey I. Schiller.
  541. "Kerberos: An Authentication Service for Open Network Systems", USENIX
  542. Mar 1988.  [athena-dist.mit.edu:pub/kerberos/doc/usenix.PS]
  543.  
  544. [2] S. P. Miller, B. C. Neuman, J. I. Schiller, and J. H. Saltzer,
  545. "Kerberos Authentication and Authorization System", 12/21/87.
  546.  
  547. [3] R. M. Needham and M. D.  Schroeder, "Using Encryption for
  548. Authentication in Large Networks of Computers," Communications of the
  549. ACM, Vol.  21(12), pp. 993-999 (December, 1978).
  550.      
  551. [4] V. L. Voydock and S. T. Kent, "Security Mechanisms in High-Level
  552. Network Protocols," Computing Surveys, Vol.  15(2), ACM (June 1983).
  553.  
  554. [5] Li Gong, "A Security Risk of Depending on Synchronized Clocks",
  555. Operating Systems Review, Vol 26, #1, pp 49--53.
  556.  
  557. [6] S.M. Bellovin and M. Merritt, "Limitations of the Kerberos
  558. Authentication System," USENIX Jan 1991.
  559. [research.att.com:dist/internet_security/kerblimit.usenix.ps]
  560.  
  561. [7] Refik Molva, Gene Tsudik, Els Van Herreweghen, and Stefano Zatti,
  562. "KryptoKnight Authentication and Key Distribution System."
  563. [jerico.usc.edu:pub/gene/kryptoknight.ps.Z]
  564.  
  565. [8] C. Neumann and J. Kohl, "The Kerberos(tm) Network Authentication
  566. Service (V5)," April 1992.  Currently released as an Internet Draft.
  567. --
  568. Barry Jaspan, bjaspan@mit.edu
  569.