<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>Re: Kerb/PKI Infrastructure - Who's on first?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Arial">Thanks for your thoughts, here's a little more based on</FONT>
<BR><FONT SIZE=2 FACE="Arial">them and my understanding.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Other than the native OS login, Kerberos is the only other</FONT>
<BR><FONT SIZE=2 FACE="Arial">authentication means that I know of to provide access</FONT>
<BR><FONT SIZE=2 FACE="Arial">at OS login.&nbsp; If I'm correct then I'm answering my</FONT>
<BR><FONT SIZE=2 FACE="Arial">own question and everything could be TGT centric.</FONT>
<BR><FONT SIZE=2 FACE="Arial">I've been a Kerberos advocate for awhile</FONT>
<BR><FONT SIZE=2 FACE="Arial">but I don't see a comprehensive solution coming</FONT>
<BR><FONT SIZE=2 FACE="Arial">together on technical merit alone.&nbsp; I can have independent</FONT>
<BR><FONT SIZE=2 FACE="Arial">authentication in each :( or pick one as more centric</FONT>
<BR><FONT SIZE=2 FACE="Arial">over the other.&nbsp; I'm no expert and have found very </FONT>
<BR><FONT SIZE=2 FACE="Arial">little on this theme, but let me attempt a draft of a </FONT>
<BR><FONT SIZE=2 FACE="Arial">simplified matrix that can illustrate where I'm coming </FONT>
<BR><FONT SIZE=2 FACE="Arial">from and from what I hear you saying:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PKI&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; KERBEROS</FONT>
<BR><FONT SIZE=2 FACE="Arial">REQUIREMENT&nbsp; IETF&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CENTRIC&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CENTRIC</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Authentication&nbsp;&nbsp;&nbsp;&nbsp; krb-wg?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Kerberos-PKINIT&nbsp;&nbsp;&nbsp;&nbsp; Kerberos-&quot;k5cert&quot; </FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (Heimdal)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (MIT)</FONT>
<BR><FONT SIZE=2 FACE="Arial">Certificate&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pkix&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RSA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSL CA-via ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenCA)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenCA)</FONT>
<BR><FONT SIZE=2 FACE="Arial">Encryption&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; smime&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; GnuPG-&gt;S/MIME&nbsp;&nbsp;&nbsp; GnuPG-&gt;S/MIME-via ?</FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (Mozilla)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (Mozilla)</FONT>
<BR><FONT SIZE=2 FACE="Arial">Hashing&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pkix&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SHA1SUM&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SHA1SUM -N/A</FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (GNU)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (GNU)</FONT>
<BR><FONT SIZE=2 FACE="Arial">IP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ipsec&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IPSEC&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IPSEC-via ?</FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (FreeSWAN)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (FreeSWAN)</FONT>
<BR><FONT SIZE=2 FACE="Arial">Shell&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; secsh&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RSA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; gss-keyex&nbsp;&nbsp; </FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenSSH)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenSSH)</FONT>
<BR><FONT SIZE=2 FACE="Arial">Transport&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tls&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RSA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; gss-keyex&nbsp;&nbsp; </FONT>
<BR><FONT SIZE=2 FACE="Arial">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenTLS)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (OpenTLS)</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I'm guessing at some of the above, how would you do it? </FONT>
<BR><FONT SIZE=2 FACE="Arial">It appears authentication is key to the whole model.</FONT>
<BR><FONT SIZE=2 FACE="Arial">The technology deployed not necessarily the product in</FONT>
<BR><FONT SIZE=2 FACE="Arial">parenthesis is what I'm concerned with which I've </FONT>
<BR><FONT SIZE=2 FACE="Arial">obviously gravitated toward Open Source solutions.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Open Source tools I've found to work great for proof</FONT>
<BR><FONT SIZE=2 FACE="Arial">of concept particularly with the above requirements</FONT>
<BR><FONT SIZE=2 FACE="Arial">from the user and technical gray.&nbsp; Globus has a FAQ</FONT>
<BR><FONT SIZE=2 FACE="Arial">that also illustrates what I'm looking for and I might</FONT>
<BR><FONT SIZE=2 FACE="Arial">pursue their GSI module:</FONT>
</P>

<P><FONT SIZE=1 FACE="Verdana">&quot;</FONT><FONT SIZE=1 FACE="Verdana">PKINIT, which can generate a Kerberos TGT from a certificate, is being worked on in the IETF and the final solution will be implemented in the reference version of MIT Kerberos. This is expected to take about 1 year. W2000 has implemented an early version of this work. Pending availability of the final standard, Globus have implemented extensions to an MIT Kerberos KDC, called SSLCD-SSLK5. This allows a client to connect to gatekeeper with a delegated proxy certificate and then use globus services on that systems which are configured using Kerberos v5. This can avoid the need for separate Globus processes when Kerberos processes are already available.</FONT></P>

<P><FONT SIZE=1 FACE="Verdana">The reverse capability of generating a Globus Proxy Certificate from a Kerberos v5 TGT is provided by the Globus K5cert software. The source code needs to be linked with the MIT Kerberos libraries, but does not require extensions to the KDC. This functionality can provide SSO for both a Kerberos v5 and Globus environment, provided the CA of the proxy certificate is trusted by other Globus sites.</FONT><FONT SIZE=1 FACE="Verdana">&quot;</FONT></P>

<P><FONT SIZE=2 FACE="Arial">Thoughts, experiences?</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">cs</FONT>
</P>
<BR>

</BODY>
</HTML>