[要約] RFC 2485は、The Open Groupのユーザ認証プロトコルのためのDHCPオプションに関するものであり、ユーザ認証プロトコルのためのDHCPオプションの仕様と目的を提供しています。
Network Working Group S. Drach Request for Comments: 2485 Sun Microsystems Category: Standards Track January 1999
DHCP Option for The Open Group's User Authentication Protocol
Open Groupのユーザー認証プロトコルのDHCPオプション
Status of this Memo
本文書の状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
Copyright(C)The Internet Society(1999)。全著作権所有。
Abstract
概要
This document defines a DHCP [1] option that contains a list of pointers to User Authentication Protocol servers that provide user authentication services for clients that conform to The Open Group Network Computing Client Technical Standard [2].
このドキュメントは、Open Group Network Computing Client Technical Standard [2]に準拠するクライアントにユーザー認証サービスを提供するユーザー認証プロトコルサーバーへのポインターのリストを含むDHCP [1]オプションを定義します。
Introduction
はじめに
The Open Group Network Computing Client Technical Standard, a product of The Open Group's Network Computing Working Group (NCWG), defines a network computing client user authentication facility named the User Authentication Protocol (UAP).
Open Groupのネットワークコンピューティングワーキンググループ(NCWG)の製品であるOpen Group Network Computing Client Technical Standardは、ユーザー認証プロトコル(UAP)というネットワークコンピューティングクライアントのユーザー認証機能を定義しています。
UAP provides two levels of authentication, basic and secure. Basic authentication uses the Basic Authentication mechanism defined in the HTTP 1.1 [3] specification. Secure authentication is simply basic authentication encapsulated in an SSLv3 [4] session.
UAPは、基本と安全の2つの認証レベルを提供します。基本認証は、HTTP 1.1 [3]仕様で定義されている基本認証メカニズムを使用します。セキュア認証は、SSLv3 [4]セッションにカプセル化された単純な基本認証です。
In both cases, a UAP client needs to obtain the IP address and port of the UAP service. Additional path information may be required, depending on the implementation of the service. A URL [5] is an excellent mechanism for encapsulation of this information since many UAP servers will be implemented as components within legacy HTTP/SSL servers.
どちらの場合も、UAPクライアントはUAPサービスのIPアドレスとポートを取得する必要があります。サービスの実装によっては、追加のパス情報が必要になる場合があります。多くのUAPサーバーはレガシーHTTP / SSLサーバー内のコンポーネントとして実装されるため、URL [5]はこの情報をカプセル化するための優れたメカニズムです。
Most UAP clients have no local state and are configured when booted through DHCP. No existing DHCP option [6] has a data field that contains a URL. Option 72 contains a list of IP addresses for WWW servers, but it is not adequate since a port and/or path can not be specified. Hence there is a need for an option that contains a list of URLs.
ほとんどのUAPクライアントにはローカル状態がなく、DHCP経由で起動したときに構成されます。既存のDHCPオプション[6]には、URLを含むデータフィールドはありません。オプション72にはWWWサーバーのIPアドレスのリストが含まれていますが、ポートまたはパス、あるいはその両方を指定できないため、適切ではありません。したがって、URLのリストを含むオプションが必要です。
User Authentication Protocol Option
ユーザー認証プロトコルオプション
This option specifies a list of URLs, each pointing to a user authentication service that is capable of processing authentication requests encapsulated in the User Authentication Protocol (UAP). UAP servers can accept either HTTP 1.1 or SSLv3 connections. If the list includes a URL that does not contain a port component, the normal default port is assumed (i.e., port 80 for http and port 443 for https). If the list includes a URL that does not contain a path component, the path /uap is assumed.
このオプションは、ユーザー認証プロトコル(UAP)にカプセル化された認証要求を処理できるユーザー認証サービスをそれぞれポイントするURLのリストを指定します。 UAPサーバーは、HTTP 1.1またはSSLv3接続を受け入れることができます。リストにポートコンポーネントが含まれていないURLが含まれている場合、通常のデフォルトポートが想定されます(httpの場合はポート80、httpsの場合はポート443)。リストにパスコンポーネントを含まないURLが含まれている場合、パス/ uapが想定されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Length | URL list +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Code 98
コード98
Length The length of the data field (i.e., URL list) in bytes.
長さデータフィールド(つまり、URLリスト)の長さ(バイト単位)。
URL list A list of one or more URLs separated by the ASCII space character (0x20).
URLリストASCIIスペース文字(0x20)で区切られた1つ以上のURLのリスト。
References
参考文献
[1] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[1] Droms、R。、「Dynamic Host Configuration Protocol」、RFC 2131、1997年3月。
[2] Technical Standard: Network Computing Client, The Open Group, Document Number C801, October 1998.
[2] 技術標準:ネットワークコンピューティングクライアント、The Open Group、ドキュメント番号C801、1998年10月。
[3] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., and T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2068, January 1997.
[3] Fielding、R.、Gettys、J.、Mogul、J.、Frystyk、H。、およびT. Berners-Lee、「Hypertext Transfer Protocol-HTTP / 1.1」、RFC 2068、1997年1月。
[4] Freier, A., Karlton, P., and P. Kocher, "The SSL Protocol, Version 3.0", Netscape Communications Corp., November 1996. Standards Information Base, The Open Group, http://www.db.opengroup.org/sib.htm#SSL_3.
[4] Freier、A.、Karlton、P。、およびP. Kocher、「SSLプロトコル、バージョン3.0」、Netscape Communications Corp.、1996年11月。標準情報ベース、The Open Group、http://www.db.opengroup。 org / sib.htm#SSL_3。
[5] Berners-Lee, T., Masinter, L., and M. McCahill, "Uniform Resource Locators (URL)", RFC 1738, December 1994.
[5] Berners-Lee、T.、Masinter、L。、およびM. McCahill、「Uniform Resource Locators(URL)」、RFC 1738、1994年12月。
[6] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.
[6] Alexander、S。およびR. Droms、「DHCPオプションとBOOTPベンダー拡張」、RFC 2132、1997年3月。
Security Considerations
セキュリティに関する考慮事項
DHCP currently provides no authentication or security mechanisms. Potential exposures to attack are discussed in section 7 of the DHCP protocol specification.
DHCPは現在、認証またはセキュリティメカニズムを提供していません。攻撃を受ける可能性については、DHCPプロトコル仕様のセクション7で説明されています。
The User Authentication Protocol does not have a means to detect whether or not the client is communicating with a rogue authentication service that the client contacted because it received a forged or otherwise compromised UAP option from a DHCP service whose security was compromised. Even secure authentication does not provide relief from this type of attack. This security exposure is mitigated by the environmental assumptions documented in the Network Computing Client Technical Standard.
ユーザー認証プロトコルには、セキュリティが侵害されたDHCPサービスから偽造またはその他の方法で侵害されたUAPオプションを受け取ったため、クライアントがアクセスした不正な認証サービスとクライアントが通信しているかどうかを検出する手段がありません。安全な認証でさえ、このタイプの攻撃からの救済を提供しません。この機密漏れは、Network Computing Client Technical Standardに文書化されている環境の仮定によって緩和されます。
Author's Address
著者のアドレス
Steve Drach Sun Microsystems, Inc. 901 San Antonio Road Palo Alto, CA 94303
Steve Drach Sun Microsystems、Inc. 901 San Antonio Road Palo Alto、CA 94303
Phone: (650) 960-1300 EMail: drach@sun.com
電話:(650)960-1300メール:drach@sun.com
Full Copyright Statement
完全な著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
Copyright(C)The Internet Society(1999)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントとその翻訳はコピーして他のユーザーに提供することができ、コメントまたはその他の方法で説明したり、その実装を支援する二次的著作物は、いかなる種類の制限なしに、全体または一部を準備、コピー、公開、および配布することができますただし、上記の著作権表示とこの段落は、そのようなすべてのコピーと派生物に含まれています。ただし、このドキュメント自体は、著作権に関する通知を削除したり、インターネットソサエティや他のインターネット組織への参照を削除したりするなど、いかなる方法でも変更できません。ただし、インターネット標準を開発する目的で必要な場合は除きます。インターネット標準のプロセスに従うか、または必要に応じて、それを英語以外の言語に翻訳する必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記で付与された制限付きのアクセス許可は永続的であり、インターネットソサエティまたはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は「現状有姿」で提供され、インターネット社会およびインターネット技術タスクフォースは、明示または黙示を問わず、ここに記載されている情報の使用が保証するものに限定されないいかなる保証も含め、一切の保証を否認します。商品性または特定の目的への適合性に関する権利または黙示の保証を侵害すること。