Option Telnet d'identification d'utilisateur TACACS

Statut du présent mémoire

La présente RFC suggère une proposition de protocole pour la communauté ARPA-Internet, et appelle à la discussion et à des suggestions d'amélioration. La distribution du présent mémoire n'est soumise à aucune restriction.

Introduction

Ci-après figure la description d'une option Telnet conçue pour faciliter d'éviter une double connexion. Elle est principalement destinée aux connexions TAC qui ciblent un hôte au nom d'un utilisateur TAC, mais elle peut aussi être utilisée entre deux hôtes consentants quelconques. Par exemple, tous les hôtes sur un site (comme BBN) peuvent utiliser cette option pour éviter la double connexion lorsqu'ils communiquent l'un l'autre avec Telnet.

1.   Nom et code de la commande

TUID 26

2   Signification des commandes

IAC WILL TUID

Celui qui envoie (l'usager Telnet) propose d'authentifier l'usager et d'envoyer l'UUID d'identification ; ou, l'envoyeur (l'usager Telnet) est d'accord pour authentifier l'usager au nom duquel la connexion est initiée.

IAC WON'T TUID

Celui qui envoie (l'usager Telnet) refuse d'authentifier l'usager au nom duquel la connexion est initiée.

IAC DO TUID

Celui qui envoie (le serveur Telnet) propose que le receveur (l'usager TELNET) authentifie l'usager et envoie l'UUID identificateur; ou celui qui envoie (le serveur TELNET) est d'accord pour accepter l'authentification de l'usager identifié par son UUID par le receveur (l'usager TELNET).

IAC DON'T TUID

Celui qui envoie (le serveur TELNET) refuse d'accepter l'authentification de l'usager par le receveur (l'usager TELNET).

IAC SB TUID <uuid> IAC SE

Celui qui envoie (l'usager TELNET) envoie l'UUID <uuid> de l'usager au nom duquel la connexion est établie ) l'hôte auquel il est connecté. Le <uuid> est un nombre binaire de 32 bits.

3.   Par défaut

WON'T TUID

Un hôte d'usager TELNET (l'initiateur d'une connexion TELNET) qui ne met pas en œuvre ou n'utilise pas l'option TUID va répondre WON'T TUID à un DO TUID.

DON'T TUID

Un hôte de serveur TELNET (le receveur d'une connexion TELNET) qui ne met pas en œuvre ou n'utilise pas l'option TUID répond DON'T TUID à un WILL TUID.

4.   Motif de l'option

Avec TACACS (le système de contrôle d'accès TAC) un usager doit être authentifié (donner une paire nom/mot de passe correcte) à un TAC avant de pouvoir se connecter à un hôte via le TAC. Pour éviter une seconde authentification par l'hôte cible, le TAC peut repasser l'identité prouvée de l'usager (son UUID) à cet hôte. Les hôtes peuvent accepter ou non l'authentification du TAC de l'usager, à leur choix.

La même option peut être utilisée entre toute paire d'hôtes qui coopèrent pour les besoins de l'évitement d'une double connexion.

5.   Description de l'option

Au moment où l'hôte établit une connexion TELNET à un autre hôte pour un usager, si cet hôte prend en charge l'option TUID et veut recevoir l'UUID de l'usager, il envoie un IAC DO TUID à l'hôte de l'usager. Si l'hôte de l'usager prend en charge l'option TUID et veut authentifier l'usager en envoyant l'UUID de l'usager, il répond IAC WILL TUID ; autrement, il répond par IAC WON'T TUID. Si l'usager et le serveur TELNET sont tous deux d'accord, l'usager TELNET va alors envoyer l'UUID au serveur TELNET par une sous négociation.

6.   Exemples

Il y a deux négociations possibles qui résultent en l'authentification évitant la double connexion d'un usager. Le serveur et l'usager TELNET prennent tous deux en charge l'option TUID.

S = Serveur, U = Usager

Cas 1 :

S-> IAC DO TUID

U-> IAC WILL TUID

U-> IAC SB TUID <32-bit UUID> IAC SE

Cas 2 :

U-> IAC WILL TUID

S-> IAC DO TUID

U-> IAC SB TUID <32-bit UUID> IAC SE

Il y a aussi deux négociations possibles qui ne résultent pas en l'authentification d'un usager. Dans le premier exemple, le serveur prend en charge TUID et l'usager TELNET ne l'accepte pas. Dans le second exemple, l'usager TELNET accepte TUID mais le serveur TELNET ne le prend pas en charge.

S = Serveur, U = Usager

Cas 3 :

S-> IAC DO TUID

U-> IAC WONT TUID

Cas 4 :

U-> IAC WILL TUID

S-> IAC DONT TUID

Le TUID est transmis avec la command de sous négociation. Par exemple, si l'UUID a comme valeur 1, la chaîne d'octets suivante sera transmise :

IAC SB TUID 0 0 0 1 IAC SE

Si l'UUID a la valeur 255, la chaîne d'octets suivante sera transmise :

IAC SB TUID 0 0 0 IAC IAC IAC SE

Si l'UUID a la valeur toute de uns, la chaîne d'octets suivante sera transmise :

IAC SB TUID IAC IAC IAC IAC IAC IAC IAC IAC IAC SE