13                           The LOGIN SASL Mechanism
15                      <draft-murchison-sasl-login-00.txt>
45 Abstract
47     This document documents the obsolete clear-text user/password Simple
48     Authentication and Security Layer (SASL) mechanism called the LOGIN
49     mechanism.  The LOGIN mechanism was intended to be used, in
50     combination with data confidentiality services provided by a lower
51     layer, in protocols which lack a simple password authentication
52     command.
65 Conventions Used in the Document
67     The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
68     "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
69     document are to be interpreted as described in [KEYWORDS].
72 1.  Background and Intended Usage
74     This document documents the obsolete LOGIN Simple Authentication and
75     Security Layer ([SASL]) mechanism which was in use in protocols with
76     no clear-text login command (e.g., [SMTP-AUTH]).
78     Note: The LOGIN SASL mechanism is obsoleted in favor of the PLAIN
79     SASL mechanism ([PLAIN]).  The LOGIN mechanism is documented here
80     only for the purpose of backwards compatibility with legacy software.
81     Clients SHOULD implement the PLAIN SASL mechanism and use it whenever
82     offered by a server.  The LOGIN SASL mechanism SHOULD NOT be used by
83     a client when other plaintext mechanisms are offered by a server.
85     The name associated with this mechanism is "LOGIN".
87     The LOGIN SASL mechanism does not provide a security layer.  This
88     mechanism MUST NOT be used without adequate security protection as
89     the mechanism affords no integrity nor confidentiality protection
90     itself.  The LOGIN SASL mechanism MUST NOT be advertised or used in
91     any configuration that prohibits the PLAIN mechanism or plaintext
92     LOGIN (or USER/PASS) command that sends passwords in the clear.
95 2.  LOGIN SASL Mechanism
97     The authorization identity is the same string as the "username" in
98     the traditional (non-SASL) LOGIN or USER commands; the authorization
99     authenticator is the same string as the traditional "password".  The
100     authentication identity is the same as the authorization identity in
101     this mechanism.
103     Only US-ASCII printable characters SHOULD be used in the username and
104     password to permit maximal interoperability.  If non-US-ASCII
105     characters are used in a username, they MUST use UTF-8.  Passwords
106     MAY contain arbitrary binary data excluding NUL, CR and LF
107     characters.  However, if a password is supplied to the client as a
108     sequence of characters (e.g., a password dialog box), those
109     characters MUST be encoded as UTF-8.
111     The username MUST be less than 64 characters in length.
120 2.1.  Client side of authentication protocol exchange
122     The client expects the server to issue a challenge.  The client then
123     responds with the authorization identity.  The client then expects
124     the server to issue a second challenge.  The client then responds
125     with the authorization authenticator.  The contents of both
126     challenges SHOULD be ignored.
129 2.2.  Server side of authentication protocol exchange
131     The server issues the string "User Name" in challenge, and receives a
132     client response.  This response is recorded as the authorization
133     identity.  The server then issues the string "Password" in challenge,
134     and receives a client response.  This response is recorded as the
135     authorization authenticator.  The server must verify that the
136     authorization authenticator permits login as the authorization
137     identity.
139     Note: There is at least one widely deployed client which requires
140     that the challenge strings transmitted by the server be "Username:"
141     and "Password:" respectively.  For this reason, server
142     implementations MAY send these challenge strings instead of those
143     listed above.
146 2.3.  Example
148     This example shows the use of the LOGIN mechanism with the SMTP AUTH
149     command [SMTP-AUTH] under the protection of SMTP STARTTLS [SMTP-TLS].
150     The user name is "tim" and the password is "tanstaaftanstaaf".  The
151     base64 encoding of the challenges and responses is part of the SMTP
152     AUTH command, not part of the LOGIN specification itself.  "C:" and
153     "S:" indicate lines sent by the client and server respectively.
155     S: 220 ESMTP server ready
156     C: EHLO
157     S:
158     S: 250-STARTTLS
159     S: 250 AUTH CRAM-MD5
160     C: STARTTLS
161     S: 220 Ready to start TLS
162     <TLS negotiation, further commands are under TLS layer>
163     C: EHLO
164     S:
165     S: 250 AUTH LOGIN CRAM-MD5
166     C: AUTH LOGIN
167     S: 334 VXNlciBOYW1lAA==
176     C: dGlt
177     S: 334 UGFzc3dvcmQA
178     C: dGFuc3RhYWZ0YW5zdGFhZg==
179     S: 235 Authentication successful.
183     Security Considerations
185     The LOGIN mechanism relies upon an underlying encryption layer or
186     other secure channel for security.  When used without an encryption
187     layer or secure channel, it is vulnerable to a common network
188     eavesdropping attack.  Therefore the LOGIN mechanism MUST NOT be
189     advertised or used in any configuration that prohibits the PLAIN
190     mechanism or a plaintext LOGIN (or USER/PASS) command that sends
191     passwords in the clear.
195     IANA Considerations
197     The registration for the LOGIN SASL mechanism follows:
199     SASL mechanism name: LOGIN
200     Security Considerations: See section 3 of this memo
201     Published specification: this memo
202     Person & email address to contact for futher information:
203         See section 7 of this memo
204     Intended usage: OBSOLETE
205     Owner/Change controller: See section 7 of this memo
209     References
212 5.1.
213     Normative References
216      [KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate
217          Requirement Levels", Harvard University, RFC 2119, March 1997.
220      [SASL] Melnikov, A., Ed., "Simple Authentication and Security Layer
221          (SASL)", Isode, draft-ietf-sasl-rfc2222bis-xx.txt, Work In
222          Progress.
232 5.2.  Informative References
235      [PLAIN] Zeilenga, Kurt D., Ed., "The Plain SASL Mechanism",
236          OpenLDAP Foundation, draft-ietf-sasl-plain-xx.txt, Work In
237          Progress.
240      [SMTP-AUTH] Myers, J., "SMTP Service Extension for Authentication",
241          Netscape Communications, RFC 2554, March 1999.
244      [SMTP-TLS] Hoffman, P., "SMTP Service Extension for Secure SMTP
245          over Transport Layer Security", Internet Mail Consortium, RFC
246          3207, February 2002.
250 6.  Acknowledgments
252     Thanks to Rob Siemborski for his input and feedback on this document.
