[要約] RFC 5588は、GSS-APIの拡張であり、委任された資格情報の保存に関するものです。その目的は、ユーザーが委任された資格情報を安全に保存し、必要な場合に使用できるようにすることです。

Network Working Group                                        N. Williams
Request for Comments: 5588                                           Sun
Category: Standards Track                                      July 2009
        

Generic Security Service Application Program Interface (GSS-API) Extension for Storing Delegated Credentials

ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)委任された資格情報を保存するための拡張機能

Abstract

概要

This document defines a new function for the Generic Security Service Application Program Interface (GSS-API), which allows applications to store delegated (and other) credentials in the implicit GSS-API credential store. This is needed for GSS-API applications to use delegated credentials as they would use other credentials.

このドキュメントでは、ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)の新しい機能を定義します。これにより、アプリケーションは暗黙のGSS-API資格ストアに委任(およびその他の)資格情報を保存できます。これは、GSS-APIアプリケーションが他の資格情報を使用するため、委任された資格情報を使用するために必要です。

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

このドキュメントは、BCP 78およびこのドキュメントの公開日(http://trustee.ietf.org/license-info)に有効なIETFドキュメントに関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。

Table of Contents

目次

   1. Introduction ....................................................2
   2. Conventions Used in This Document ...............................3
   3. GSS_Store_cred() ................................................3
   4. C-Bindings ......................................................5
   5. Examples ........................................................6
   6. Security Considerations .........................................6
   7. Normative References ............................................7
        
1. Introduction
1. はじめに

The GSS-API [RFC2743] clearly assumes that credentials exist in an implicit store whence they can be acquired using GSS_Acquire_cred() and GSS_Add_cred() or through use of the default credential. Multiple credential stores may exist on a given host, but only one store may be accessed by GSS_Acquire_cred() and GSS_Add_cred() at any given time.

GSS-API [RFC2743]は、GSS_ACQUIRE_CRED()およびGSS_ADD_CRED()を使用して、またはデフォルトの資格情報を使用して、資格情報が暗黙のストアに存在することを明確に想定しています。特定のホストには複数の資格情報が存在する場合がありますが、gss_acquire_cred()とgss_add_cred()がいつでもアクセスできるのは1つのストアのみです。

This assumption can be seen in Sections 1.1.1.2 and 1.1.1.3 of [RFC2743] as well as in Section 3.5 of [RFC2744].

この仮定は、[RFC2743]のセクション1.1.1.2および1.1.1.3および[RFC2744]のセクション3.5で見ることができます。

Applications may be able to change the credential store from which credentials can be acquired, either by changing user contexts (where the applications have the privilege to do so) or by other means (where a user may have multiple credential stores).

アプリケーションは、ユーザーのコンテキスト(アプリケーションがそうする特権を持っている場合)または他の手段(ユーザーが複数の資格情報を持っている場合がある場合)のいずれかを変更することにより、資格情報を取得できる資格ストアを変更できる場合があります。

Some GSS-API acceptor applications always change user contexts, after accepting a GSS-API security context and making appropriate authorization checks, to the user context corresponding to the initiator principal name or to a context requested by the initiator. The means by which credential stores are managed are generally beyond the scope of the GSS-API.

一部のGSS-APIアクセプターアプリケーションは、GSS-APIセキュリティコンテキストを受け入れ、適切な承認チェックを行った後、イニシエーターの主名またはイニシエーターが要求したコンテキストに対応するユーザーコンテキストに適切な承認チェックを行った後、常にユーザーコンテキストを変更します。資格証書が管理される手段は、一般にGSS-APIの範囲を超えています。

In the case of delegated credential handles however, such credentials do not exist in the acceptor's credential store or in the credential stores of the user contexts to which the acceptor application might change. The GSS-API provides no mechanism by which delegated credential handles can be made available for acquisition through GSS_Acquire_cred()/GSS_Add_cred(). The GSS-API also does not provide any credential import/export interfaces like the GSS-API context import/export interfaces.

ただし、委任された資格情報ハンドルの場合、そのような資格情報は、アクセプターの資格情報ストアや、アクセプターアプリケーションが変更される可能性のあるユーザーコンテキストの資格認定ストアには存在しません。GSS-APIは、GSS_ACQUIRE_CRED()/GSS_ADD_CRED()を介して取得に利用できるようにするメカニズムを提供しません。GSS-APIは、GSS-APIコンテキストのインポート/エクスポートインターフェイスなどの資格情報インポート/エクスポートインターフェイスも提供していません。

Thus, acceptors are limited to making only direct use of delegated credential handles and only with GSS_Init_sec_context(), GSS_Inquire_cred*(), and GSS_Release_cred(). This limitation is particularly onerous on Unix systems where a call to exec() to replace the process image obliterates any delegated credentials handle that may exist in that process.

したがって、アクセプターは、GSS_INIT_SEC_CONTEXT()、GSS_INQUIRE_CRED*()、およびGSS_RELEASE_CRED()でのみ、委任された資格情報ハンドルを直接使用することに限定されます。この制限は、プロセス画像を置き換えるためのexec()への呼び出しが、そのプロセスに存在する可能性のある委任された資格情報ハンドルを抹消するUNIXシステムで特に面倒です。

In order to make delegated credentials generally as useful as credentials that can be acquired with GSS_Acquire_cred() and GSS_Add_cred(), a primitive is needed that allows storing of credentials in the implicit credential store. We call this primitive "GSS_Store_cred()".

GSS_ACQUIRE_CRED()およびGSS_ADD_CRED()で取得できる資格情報と同じくらい一般的に役立つ委任された資格情報を作成するには、暗黙の資格情報ストアに資格情報を保存できる原始が必要です。これを「GSS_STORE_CRED()」と呼びます。

2. Conventions Used in This Document
2. このドキュメントで使用されている規則

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

「必須」、「そうしない」、「必須」、「shall」、「shall "、" ingle "、" should "、" not "、" becommended "、" bay "、および「optional」は、[RFC2119]に記載されているように解釈される。

3. GSS_Store_cred()
3. gss_store_cred()

Inputs:

入力:

o input_cred_handle CREDENTIAL HANDLE, -- credential to store; MUST NOT be GSS_C_NO_CREDENTIAL.

o input_cred_handle資格情報ハンドル、 - 資格情報を保存します。GSS_C_NO_CREDENTIALである必要があります。

o cred_usage INTEGER -- 0=INITIATE-AND-ACCEPT, 1=INITIATE-ONLY, 2=ACCEPT-ONLY.

o cred_usage integer-0 = initiate-and-accept、1 = initiateのみ、2 =承認専用。

o desired_mech_element OBJECT IDENTIFIER, -- if GSS_C_NULL_OID, then store all the elements of the input_cred_handle, otherwise, store only the element of the corresponding mechanism.

o desired_mech_elementオブジェクト識別子 - gss_c_null_oidの場合、input_cred_handleのすべての要素を保存します。それ以外の場合は、対応するメカニズムの要素のみを保存します。

o overwrite_cred BOOLEAN, -- if TRUE, replace any credential for the same principal in the credential store.

o urbrite_cred boolean - trueの場合は、資格認定ストアの同じプリンシパルの資格情報を置き換えます。

o default_cred BOOLEAN -- advisory input; if TRUE, make the stored credential available as the default credential (for acquisition with GSS_C_NO_NAME as the desired name or for use as GSS_C_NO_CREDENTIAL).

o default_cred boolean-アドバイザリー入力。Trueの場合、保存された資格情報をデフォルトの資格情報として使用できるようにします(GSS_C_NO_NAMEを目的の名前として取得するか、GSS_C_NO_CREDENTIALとして使用します)。

Outputs:

出力:

o major_status INTEGER.

o Major_status整数。

o minor_status INTEGER.

o minor_status整数。

o mech_elements_stored SET OF OBJECT IDENTIFIER, -- the set of mechanism OIDs for which credential elements were successfully stored.

o Mech_Elements_storedオブジェクト識別子のセット - 資格要素が正常に保存されたメカニズムOIDのセット。

o cred_usage_stored INTEGER -- like cred_usage, but indicates what kind of credential was stored (useful when the cred_usage input parameter is set to INITIATE-AND-ACCEPT).

o CRED_USAGE_STORED INTEGER-cred_usageのように、しかし、どのような資格情報が保存されたかを示します(cred_usage入力パラメーターが開始とacceptに設定されている場合に役立ちます)。

Return major_status codes:

Major_statusコードを返す:

o GSS_S_COMPLETE indicates that the credentials were successfully stored.

o GSS_S_COMPLETEは、資格情報が正常に保存されたことを示します。

o GSS_S_CREDENTIALS_EXPIRED indicates that the input credentials had expired or expired before they could be stored.

o GSS_S_CREDENTIALS_EXPIREDは、入力資格情報が保存される前に期限切れまたは期限切れになったことを示します。

o GSS_S_NO_CRED indicates that no input credentials were given.

o GSS_S_NO_CREDは、入力資格情報が与えられていないことを示します。

o GSS_S_UNAVAILABLE indicates that the credential store is not available.

o GSS_S_UNAVAILABLEは、資格情報が利用できないことを示しています。

o GSS_S_DUPLICATE_ELEMENT indicates that an element of the input credential could not be stored because a credential for the same principal exists in the current credential store and the overwrite_cred input argument was FALSE.

o GSS_S_DUPLICATION_ELEMENT入力資格情報の要素が保存できないことを示しています。これは、現在の資格情報ストアに同じプリンシパルの資格情報が存在し、Overwrite_cred入力引数がfalseであるためです。

o GSS_S_FAILURE indicates that the credential could not be stored for some other reason. The minor status code may provide more information if a non-GSS_C_NULL_OID desired_mech_element was given.

o GSS_S_FAILUREは、他の理由で資格情報を保存できなかったことを示しています。マイナーステータスコードは、非GSS_C_NULL_OID WESTIED_MECH_ELEMENTが与えられた場合、より多くの情報を提供する場合があります。

GSS_Store_cred() is used to store, in the current credential store, a given credential that has either been acquired from a different credential store or been accepted as a delegated credential.

GSS_STORE_CRED()は、現在の資格情報ストアに、別の資格情報から取得されたか、委任された資格として受け入れられた特定の資格情報を保存するために使用されます。

Specific mechanism elements of a credential can be stored one at a time by specifying a non-GSS_C_NULL_OID mechanism OID as the desired_mech_element input argument; in which case, the minor status output SHOULD have a mechanism-specific value when the major status is not GSS_S_COMPLETE.

資格情報の特定のメカニズム要素は、非GSS_C_NULL_OIDメカニズムOIDを目的の_mech_element入力引数として指定することにより、一度に1つずつ保存できます。その場合、主要なステータスがGSS_S_Completeではない場合、マイナーステータス出力にはメカニズム固有の値が必要です。

The initiator, acceptor, or both usages of the input credential may be stored as per the cred_usage input argument.

入力資格情報のイニシエーター、アクセプター、または両方の使用法は、CRED_USAGE入力引数に従って保存できます。

The credential elements that were actually stored, when the major status is GSS_S_COMPLETE, are indicated through the cred_usage_stored and mech_elements_stored function outputs.

主要なステータスがGSS_S_COMPLETEである場合、実際に保存された資格要素は、CRED_USAGE_STOREDおよびMECH_ELEMENTS_STORED関数出力を介して表示されます。

If credentials already exist in the current store for the principal of the input_cred_handle, then those credentials are not replaced with the input credentials unless the overwrite_cred input argument is TRUE.

input_cred_handleのプリンシパルの現在のストアに資格情報が既に存在する場合、それらの資格情報は、upprowrite_cred入力引数が真でない限り、入力資格情報に置き換えられません。

In the GSS-API, the default credential can be used by using GSS_C_NO_CREDENTIAL or a CREDENTIAL handle acquired by calling GSS_Acquire_cred() or GSS_Add_cred() with the desired_name input set to GSS_C_NO_NAME.

GSS-APIでは、gss_cquire_cred()またはgss_add_cred()を呼び出してgss_cquire_cred()を呼び出して取得した場合にgss_c_no_credentialを使用して、デフォルトの資格情報を使用できます。

If the default_cred input argument is TRUE, and the input credential can be successfully stored, then the input credential SHOULD be stored as the default credential (see above).

default_cred入力引数がtrueであり、入力資格情報を正常に保存できる場合、入力資格情報はデフォルトの資格情報として保存する必要があります(上記参照)。

If the current credential store has no default credential (see above), then the implementation MAY make the stored credentials available as the default credential regardless of the value of the default_cred input argument.

現在の資格認定ストアにデフォルトの資格情報がない場合(上記参照)、実装により、デフォルト_cred入力引数の値に関係なく、保存された資格情報をデフォルトの資格情報として利用可能にする場合があります。

4. C-Bindings
4. Cビンディング

The C-Bindings for GSS_Store_cred() make use of types from and are designed based on the style of the GSS-APIv2 C-Bindings [RFC2744].

gss_store_cred()のc-bindingsは、gss-apiv2 c-bindings [rfc2744]のスタイルに基づいて設計されています。

OM_uint32 gss_store_cred( OM_uint32 *minor_status, gss_cred_id_t input_cred_handle, gss_cred_usage_t cred_usage, const gss_OID desired_mech, OM_uint32 overwrite_cred, OM_uint32 default_cred, gss_OID_set *elements_stored, gss_cred_usage_t *cred_usage_stored)

OM_UINT32 GSS_STORE_CRED(OM_UINT32 *MINTER_STATUS、GSS_CRED_ID_T INPUT_CRED_HANDLE、GSS_CRED_USAGE_T CRED_USAGE、const GSS_OID WOID WOID WOID WOID DESSIED_MECH、OM_UINT32 OWNWRITE_CROED、GS_CRED_SET、gs_cred、gsdeag

Figure 1

図1

The two boolean arguments, 'overwrite_cred' and 'default_cred', are typed as OM_uint32; 0 corresponds to FALSE, non-zero values correspond to TRUE.

2つのブールの引数、「上書き_cred」と「default_cred」は、om_uint32として入力されます。0はfalseに対応し、非ゼロ値はtrueに対応します。

5. Examples
5. 例

The intended usage of GSS_Store_cred() is to make delegated credentials available to child processes of GSS-API acceptor applications. Example pseudo-code:

GSS_STORE_CRED()の意図された使用法は、GSS-APIアクセプターアプリケーションの子プロセスで委任された資格情報を利用可能にすることです。擬似コードの例:

      /*
       * <GSS_Accept_sec_context() loop resulting in GSS_S_COMPLETE,
       * an initiator name (hereafter, "src_name") and a delegated
       * credential handle (hereafter "deleg_cred").>
       *
       * <"requested_username" is a username derived from the
       * initiator name or explicitly requested by the initiator
       * application.>
       */
      ...
        
      if (authorize_gss_client(src_name, requested_username)) {
         /*
          * For Unix-type platforms this may mean calling setuid() and
          * it may or may not also mean setting/unsetting such
          * environment variables as KRB5CCNAME and what not -- all
          * OS-specific details.
          */
         if (change_user_context(requested_username))
            (void) gss_store_cred(&minor_status, deleg_cred,
                                  GSS_C_INITIATE, actual_mech,
                                  0, 1, NULL, NULL);
         }
         else ...
      }
      else ...
        
6. Security Considerations
6. セキュリティに関する考慮事項

Acceptor applications MUST only store delegated credentials into appropriate credential stores and only after proper authorization of the authenticated initiator principal to the requested service(s).

アクセプターアプリケーションは、委任された資格情報を適切な資格情報に保存する必要がありますが、認証されたイニシエータープリンシパルを要求されたサービスに適切に許可した後にのみです。

Acceptor applications that have no use for delegated credentials MUST release them (such acceptor applications that use the GSS-API C-Bindings may simply provide a NULL value for the delegated_cred_handle argument to gss_accept_sec_context()).

委任された資格情報に役に立たないアクセプターアプリケーションは、それらをリリースする必要があります(GSS-API C-ビンディングを使用するアクセプターアプリケーションは、GSS_ACCEPT_SEC_CONTEXT())にDeLegated_CRED_HANDLE引数にヌル値を提供する場合があります。

7. Normative References
7. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2743] Linn, J., "Generic Security Service Application Program Interface Version 2, Update 1", RFC 2743, January 2000.

[RFC2743] Linn、J。、「Generic Security Service Application Program Interfaceバージョン2、Update 1」、RFC 2743、2000年1月。

[RFC2744] Wray, J., "Generic Security Service API Version 2 : C-bindings", RFC 2744, January 2000.

[RFC2744] Wray、J。、「ジェネリックセキュリティサービスAPIバージョン2:C-Bindings」、RFC 2744、2000年1月。

Author's Address

著者の連絡先

Nicolas Williams Sun Microsystems 5300 Riata Trace Ct Austin, TX 78727 US

ニコラス・ウィリアムズサンマイクロシステムズ5300リアタトレースCTオースティン、テキサス78727 US

   EMail: Nicolas.Williams@sun.com