Network Working Group N. Williams
Request for Comments: 5588 Sun
Category: Standards Track July 2009
Generic Security Service Application Program Interface (GSS-API) Extension for Storing Delegated Credentials
一般的なセキュリティサービス委譲された資格を格納するためのアプリケーション・プログラム・インターフェース(GSS-API)拡張
Abstract
抽象
This document defines a new function for the Generic Security Service Application Program Interface (GSS-API), which allows applications to store delegated (and other) credentials in the implicit GSS-API credential store. This is needed for GSS-API applications to use delegated credentials as they would use other credentials.
この文書では、アプリケーションが委任(および他の)暗黙のGSS-API資格ストア内の資格情報格納することができ、汎用セキュリティサービスアプリケーションプログラムインタフェース(GSS-API)、のための新しい関数を定義します。これは、彼らが他の資格情報を使用するよう委任された資格情報を使用するGSS-APIアプリケーションのために必要とされます。
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2009 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書(http://trustee.ietf.org/license-info)の発行日に有効なIETFドキュメントに関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
Table of Contents
目次
1. Introduction ....................................................2
2. Conventions Used in This Document ...............................3
3. GSS_Store_cred() ................................................3
4. C-Bindings ......................................................5
5. Examples ........................................................6
6. Security Considerations .........................................6
7. Normative References ............................................7
The GSS-API [RFC2743] clearly assumes that credentials exist in an implicit store whence they can be acquired using GSS_Acquire_cred() and GSS_Add_cred() or through use of the default credential. Multiple credential stores may exist on a given host, but only one store may be accessed by GSS_Acquire_cred() and GSS_Add_cred() at any given time.
GSS-API [RFC2743]は、明らかに、彼らはは、gss_acquire_cred()とGSS_Add_credを使用して取得()またはデフォルト・クレデンシャルを使用することによってすることができるそこから資格情報が暗黙ストアに存在することを前提としています。複数の資格証明ストアは、特定のホスト上に存在してもよいが、一つだけストアは任意の時点では、gss_acquire_cred()とは、gss_add_cred()によってアクセスすることができます。
This assumption can be seen in Sections 1.1.1.2 and 1.1.1.3 of [RFC2743] as well as in Section 3.5 of [RFC2744].
この仮定は、[RFC2743]のセクション1.1.1.2と1.1.1.3ならびに[RFC2744]のセクション3.5に見ることができます。
Applications may be able to change the credential store from which credentials can be acquired, either by changing user contexts (where the applications have the privilege to do so) or by other means (where a user may have multiple credential stores).
アプリケーションは、資格情報が(アプリケーションがそうする権限を持っている)ユーザーコンテキストを変更することにより、または(ユーザーが複数の資格情報を格納する必要がある場合があります)、他の手段のいずれかによって、取得することができ、そこから資格証明ストアを変更することができるかもしれません。
Some GSS-API acceptor applications always change user contexts, after accepting a GSS-API security context and making appropriate authorization checks, to the user context corresponding to the initiator principal name or to a context requested by the initiator. The means by which credential stores are managed are generally beyond the scope of the GSS-API.
いくつかのGSS-APIのアクセプターアプリケーションは常にイニシエータプリンシパル名またはイニシエータによって要求されたコンテキストに対応するユーザのコンテキストに、GSS-APIのセキュリティコンテキストを受け入れ、適切な権限のチェックを行った後、ユーザコンテキストを変更します。資格ストアを管理するための手段は、一般的にGSS-APIの範囲を超えています。
In the case of delegated credential handles however, such credentials do not exist in the acceptor's credential store or in the credential stores of the user contexts to which the acceptor application might change. The GSS-API provides no mechanism by which delegated credential handles can be made available for acquisition through GSS_Acquire_cred()/GSS_Add_cred(). The GSS-API also does not provide any credential import/export interfaces like the GSS-API context import/export interfaces.
委任資格の場合は、しかしハンドルでは、このような資格情報は、アクセプターの資格ストアまたはアクセプターアプリケーションが変更される場合があります先のユーザコンテキストの資格ストアに存在しません。 GSS-APIは、信任状ハンドルがは、gss_acquire_cred()/は、gss_add_cred()を通じて取得のために利用可能にすることができる委任されるメカニズムを提供しません。 GSS-APIはまた、GSS-APIのコンテキストのインポート/エクスポート・インターフェースなどのいずれかの資格情報のインポート/エクスポート・インターフェースを提供していません。
Thus, acceptors are limited to making only direct use of delegated credential handles and only with GSS_Init_sec_context(), GSS_Inquire_cred*(), and GSS_Release_cred(). This limitation is particularly onerous on Unix systems where a call to exec() to replace the process image obliterates any delegated credentials handle that may exist in that process.
このように、受容体は、委任資格ハンドルの唯一の直接利用することにして唯一もしGSS_Init_sec_context()、GSS_Inquire_cred *()、およびGSS_Release_cred()で制限されています。この制限は、プロセスイメージは、任意の委任資格情報がそれがそのプロセスで存在することができるハンドル抹消する交換する)(コールはEXECにUnixシステム上で特に厄介です。
In order to make delegated credentials generally as useful as credentials that can be acquired with GSS_Acquire_cred() and GSS_Add_cred(), a primitive is needed that allows storing of credentials in the implicit credential store. We call this primitive "GSS_Store_cred()".
gss_acquire_cred(で取得することができる資格情報として委任された資格情報は、一般的に有用にする)とは、gss_add_cred()するために、プリミティブは、暗黙の資格ストア内の資格情報の記憶を可能にすることが必要です。私たちは、この原始的な「GSS_Store_credを()」を呼び出します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
Inputs:
入力:
o input_cred_handle CREDENTIAL HANDLE, -- credential to store; MUST NOT be GSS_C_NO_CREDENTIAL.
O input_cred_handle資格HANDLE、 - 格納するための資格。 GSS_C_NO_CREDENTIALしているはずがありません。
o cred_usage INTEGER -- 0=INITIATE-AND-ACCEPT, 1=INITIATE-ONLY, 2=ACCEPT-ONLY.
O cred_usage INTEGER - 0 = INITIATE-AND-ACCEPT、1 = INITIATE-ONLY、2 = ACCEPT-ONLY。
o desired_mech_element OBJECT IDENTIFIER, -- if GSS_C_NULL_OID, then store all the elements of the input_cred_handle, otherwise, store only the element of the corresponding mechanism.
O desired_mech_elementオブジェクト識別子、 - GSS_C_NULL_OIDは、次いで、そうでなければ、input_cred_handleのすべての要素を格納する場合、店舗に対応する機構の唯一の要素。
o overwrite_cred BOOLEAN, -- if TRUE, replace any credential for the same principal in the credential store.
O、BOOLEANをoverwrite_cred - trueの場合、資格証明ストア内の同じプリンシパルのいずれかの資格を交換してください。
o default_cred BOOLEAN -- advisory input; if TRUE, make the stored credential available as the default credential (for acquisition with GSS_C_NO_NAME as the desired name or for use as GSS_C_NO_CREDENTIAL).
O BOOLEAN default_cred - 諮問入力と、 TRUEの場合、(目的の名前として、あるいはGSS_C_NO_CREDENTIALとして使用するためのGSS_C_NO_NAMEと取得のための)デフォルトの資格として保存された資格情報を使用できるようにします。
Outputs:
出力:
o major_status INTEGER.
O major_status INTEGER。
o minor_status INTEGER.
O minor_statusのINTEGER。
o mech_elements_stored SET OF OBJECT IDENTIFIER, -- the set of mechanism OIDs for which credential elements were successfully stored.
資格要素が正常に保存されたそのための機構OIDのセット - Oオブジェクト識別子のセットmech_elements_stored。
o cred_usage_stored INTEGER -- like cred_usage, but indicates what kind of credential was stored (useful when the cred_usage input parameter is set to INITIATE-AND-ACCEPT).
O INTEGER cred_usage_stored - cred_usage等が、(cred_usage入力パラメータはINITIATE-AND-ACCEPTに設定されている場合に有用な)資格の種類を格納したものを示しています。
Return major_status codes:
major_status戻りコード:
o GSS_S_COMPLETE indicates that the credentials were successfully stored.
O GSS_S_COMPLETEは、資格情報が正常に保存されたことを示しています。
o GSS_S_CREDENTIALS_EXPIRED indicates that the input credentials had expired or expired before they could be stored.
O GSS_S_CREDENTIALS_EXPIREDは、彼らが保存される前に入力された資格証明書の期限が切れたり、有効期限が切れていたことを示しています。
o GSS_S_NO_CRED indicates that no input credentials were given.
O GSS_S_NO_CREDには、入力の資格が与えられなかったことを示しています。
o GSS_S_UNAVAILABLE indicates that the credential store is not available.
O GSS_S_UNAVAILABLEは、資格証明ストアが利用できないことを示しています。
o GSS_S_DUPLICATE_ELEMENT indicates that an element of the input credential could not be stored because a credential for the same principal exists in the current credential store and the overwrite_cred input argument was FALSE.
O GSS_S_DUPLICATE_ELEMENTは同じプリンシパルの信任状は、現在の資格証明ストアに存在し、overwrite_cred入力引数がFALSEであったので、入力された資格の要素を格納することができなかったことを示しています。
o GSS_S_FAILURE indicates that the credential could not be stored for some other reason. The minor status code may provide more information if a non-GSS_C_NULL_OID desired_mech_element was given.
O GSS_S_FAILUREは資格が他の何らかの理由のために保存することができなかったことを示しています。非GSS_C_NULL_OID desired_mech_elementが与えられた場合、マイナーステータスコードは、より多くの情報を提供することができます。
GSS_Store_cred() is used to store, in the current credential store, a given credential that has either been acquired from a different credential store or been accepted as a delegated credential.
GSS_Store_cred()は、現在の資格証明ストア、いずれかの異なる資格証明ストアから取得されたか、または委任資格証明として承認され、所与の資格で、格納するために使用されます。
Specific mechanism elements of a credential can be stored one at a time by specifying a non-GSS_C_NULL_OID mechanism OID as the desired_mech_element input argument; in which case, the minor status output SHOULD have a mechanism-specific value when the major status is not GSS_S_COMPLETE.
資格の特定の機構要素がdesired_mech_element入力引数として非GSS_C_NULL_OID機構のOIDを指定することにより、一度に一つを記憶することができます。主要な状態がGSS_S_COMPLETEでない場合、その場合には、マイナーステータス出力は、機構固有の値を持つ必要があります。
The initiator, acceptor, or both usages of the input credential may be stored as per the cred_usage input argument.
イニシエータ、アクセプター、または入力資格の両方の用途はcred_usage入力引数ごとに記憶されてもよいです。
The credential elements that were actually stored, when the major status is GSS_S_COMPLETE, are indicated through the cred_usage_stored and mech_elements_stored function outputs.
主要な状態がGSS_S_COMPLETEである場合、実際に、記憶された信任状要素は、cred_usage_storedとmech_elements_stored関数出力を介して示されています。
If credentials already exist in the current store for the principal of the input_cred_handle, then those credentials are not replaced with the input credentials unless the overwrite_cred input argument is TRUE.
資格情報が既にinput_cred_handleのプリンシパルの現在のストアに存在する場合overwrite_cred入力引数が真でなければ、それらの資格情報が入力された資格情報で置き換えられません。
In the GSS-API, the default credential can be used by using GSS_C_NO_CREDENTIAL or a CREDENTIAL handle acquired by calling GSS_Acquire_cred() or GSS_Add_cred() with the desired_name input set to GSS_C_NO_NAME.
GSS-APIでは、デフォルトの資格は、GSS_C_NO_CREDENTIALまたはGSS_C_NO_NAMEに設定されたdesired_name入力では、gss_acquire_cred()またはGSS_Add_cred()を呼び出すことによって取得証明書ハンドルを使用して使用することができます。
If the default_cred input argument is TRUE, and the input credential can be successfully stored, then the input credential SHOULD be stored as the default credential (see above).
default_cred入力引数がTRUEであり、入力信任状が正常に格納することができる場合には、入力されたクレデンシャル(上記参照)デフォルトの資格として保存されるべきです。
If the current credential store has no default credential (see above), then the implementation MAY make the stored credentials available as the default credential regardless of the value of the default_cred input argument.
現在の資格ストアが(上記参照)は、デフォルトの資格を持っていない場合には、実装にかかわらずdefault_cred入力引数の値のデフォルトの資格として保存された資格情報が利用可能にすることができます。
The C-Bindings for GSS_Store_cred() make use of types from and are designed based on the style of the GSS-APIv2 C-Bindings [RFC2744].
GSS_Store_credためのC-バインディングは、()のタイプを利用すると、GSS-APIv2 C-バインディング[RFC2744]のスタイルに基づいて設計されています。
OM_uint32 gss_store_cred(
OM_uint32 *minor_status,
gss_cred_id_t input_cred_handle,
gss_cred_usage_t cred_usage,
const gss_OID desired_mech,
OM_uint32 overwrite_cred,
OM_uint32 default_cred,
gss_OID_set *elements_stored,
gss_cred_usage_t *cred_usage_stored)
Figure 1
図1
The two boolean arguments, 'overwrite_cred' and 'default_cred', are typed as OM_uint32; 0 corresponds to FALSE, non-zero values correspond to TRUE.
2つのブール引数、「overwrite_cred」と「default_cred」はOM_uint32と同じよう型付けされています。 FALSE、ゼロ以外の値に0相当にTRUEに対応します。
The intended usage of GSS_Store_cred() is to make delegated credentials available to child processes of GSS-API acceptor applications. Example pseudo-code:
GSS_Store_credの使用目的()GSS-APIのアクセプターアプリケーションの子プロセスに委任資格情報を利用できるようにすることです。例えば擬似コード:
/*
* <GSS_Accept_sec_context() loop resulting in GSS_S_COMPLETE,
* an initiator name (hereafter, "src_name") and a delegated
* credential handle (hereafter "deleg_cred").>
*
* <"requested_username" is a username derived from the
* initiator name or explicitly requested by the initiator
* application.>
*/
...
if (authorize_gss_client(src_name, requested_username)) {
/*
* For Unix-type platforms this may mean calling setuid() and
* it may or may not also mean setting/unsetting such
* environment variables as KRB5CCNAME and what not -- all
* OS-specific details.
*/
if (change_user_context(requested_username))
(void) gss_store_cred(&minor_status, deleg_cred,
GSS_C_INITIATE, actual_mech,
0, 1, NULL, NULL);
}
else ...
}
else ...
Acceptor applications MUST only store delegated credentials into appropriate credential stores and only after proper authorization of the authenticated initiator principal to the requested service(s).
アクセプターアプリケーションは、唯一の店舗適切な資格情報を格納にのみ要求されたサービス(複数可)に認証されたイニシエータプリンシパルの適切な承認後に資格情報を委任しなければなりません。
Acceptor applications that have no use for delegated credentials MUST release them (such acceptor applications that use the GSS-API C-Bindings may simply provide a NULL value for the delegated_cred_handle argument to gss_accept_sec_context()).
委譲された資格のための使用を持っていないアクセプターアプリケーションは、(GSS-API C-バインディングを使用して、このようなアクセプターアプリケーションは、単に()をのgss_accept_sec_contextするdelegated_cred_handle引数にNULL値を提供することができる)、それらを解放する必要があります。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2743] Linn, J., "Generic Security Service Application Program Interface Version 2, Update 1", RFC 2743, January 2000.
[RFC2743]リン、J.、 "ジェネリックセキュリティーサービス適用業務プログラムインタフェースバージョン2、アップデート1"、RFC 2743、2000年1月。
[RFC2744] Wray, J., "Generic Security Service API Version 2 : C-bindings", RFC 2744, January 2000.
[RFC2744]レイ、J.、 "ジェネリックセキュリティサービスAPIバージョン2:C-バインディング"、RFC 2744、2000年1月。
Author's Address
著者のアドレス
Nicolas Williams Sun Microsystems 5300 Riata Trace Ct Austin, TX 78727 US
ニコラス・ウィリアムズSun Microsystemsの5300 RiataトレースのCtオースティン、TX 78727米国
EMail: Nicolas.Williams@sun.com
メールアドレス:Nicolas.Williams@sun.com