【针对LDAP的验证方法】备忘录状况
这份文档为Internet社区指定为Internet标准(轨迹)协议,并且为进一步改进需要讨论
和建议 。这份协议的标准化状态和状况请参阅"Internet官方协议标准(InternetOfficialProtocol
Standards)"(STD1)的当前版 。这份备忘录的分发不受限制 。
版权声明
Copyright(C)TheInternetSociety(2000) 。版权所有 。
摘要
这篇文档针对在LDAP[1]实现工具(implementations)中被需求和推荐的安全机制
(securitymechanisms)的特定结合 。
目录
0.译者的话 2
1.引论 3
2.样例展开脚本(Exampledeploymentscenarios) 4
3.认证和授权:定义和概念 5
3.1.存取控制策略AccessControlPolicy 5
3.2.存取控制因素AccessControlFactors 5
3.3.认证(Authentication)、证实(Credentials)、身份标识(Identity) 5
3.4.授权身份标识(AuthorizationIdentity) 6
4.必须的安全机制 6
5.匿名认证 7
5.1.匿名认证过程 8
5.2.匿名认证和TLS 8
6.基于口令的认证 8
6.1.文摘认证 8
6.2.TLS加密下的简单认证选择("simple"authenticationchoice) 9
6.3.随TLS的其它认证选择 9
7.基于证书的认证(Certificate-basedauthentication) 10
7.1.随TLS基于证书的认证 10
8.其他机制 10
9.授权标识 11
10.TLS密码适配组 12
11.对于LDAP的SASL服务名字 13
12.安全考虑 13
13.确认 13
14.文献 13
15.作者的地址 14
16.完整版权声明 15
确认 16
0.译者的话
译者在翻译这份文档的时候,采取直译的方式,尽量保证原文的原意 。同时也尽量考虑
了中文的语义顺畅,便于中文读者阅读,译者在译文中加入了一些修饰语和译注,修饰语一
般在括号中写明,而译注均有“译者注”字样 。由于译者翻译本篇文挡时间有限,译文中一
定会存在许多理解有误、用词不当之处,欢迎读者来信指正,共同学习 。
1.引论
LDAP版本3是针对目录(服务)功能强大的访问协议 。
它提供了搜索(searching)、获取(fetching)和操作(manipulating)目录内容的方
法,以及丰富的安全函数集合的访问方法 。
为了Internet运转的更好,这些安全功能能够很好的交互是至关重要的(vital);因
此应该存在一个对所有需求LDAPv3一致性的工具(LDAPv3)通用的最小安全功能子集 。
对LDAP目录服务基本的威胁包括:
(1)通过数据获取(data-fetching)操作非特许存取数据,
(2)通过监听(monitoring)其他的访问(通道)非特许存取可再用的客户(身份)
证实信息,
(3)通过监听其他的访问(通道)非特许存取数据,
(4)未经授权的数据修改,
(5)未经授权的配置修改,
(6)未经授权的或者过分的资源使用(拒绝服务),以及
(7)目录的电子欺骗:欺骗客户(client)相信信息来自目录(Directory)而实际
上没有,或者在转接中修改数据或者错误指引客户的连接 。
威胁(1),(4),(5)和(6)针对恶意的(hostile)客户(clients) 。威胁(2),(3)和(7)
针对恶意的在客户端和服务端(传输)路径上的代理,或者冒充服务端 。
LDAP协议组(protocolsuite)能通过下面的安全机制得到保护:
(1)客户(身份)证实利用SASL[2]机制设置,或者依靠(backedby)TLS证实扩
展机制,
(2)客户授权利用依靠于请求者证实的身份(标识)存取控制,
(3)数据完整性保护(Dataintegrity)利用TLS协议或者数据完整(data-integrity)
SASL机制,
(4)避免窥探者(snooping)损害的保护利用TLS协议或者数据加密
推荐阅读
- 潮汕挑花篮是什么风俗
- 河蟹池塘里的青虾“长毛”咋办
- 如何去看好友空间里的宠物呢
- 快的打车怎么现金付款
- 对于零基础学舞蹈的人有什么建议
- 我对的诺基亚6030的意见
- 什么是rbq
- 如何去除袄子上的玻璃胶
- 公积金是当月缴纳当月的吗
- 线性方程组的特解 线性方程组的特解怎么求