(data-encrypting)SASL机制,
(5)资源限制利用基于服务控制(servicecontrols)的治理限制,以及
(6)服务(身份)证实利用TLS协议或者SASL机制 。
译者注:SASL:SimpleAuthenticationandSecurityLayer
同时,存取控制的强制(执行)(imposition)利用LDAP协议范围以外的(机制)完成 。
在本文中,术语"user"代表其是使用目录获取或者存储信息的LDAP客户的任何应用
(application) 。
在本文中的要害字"MUST","MUSTNOT","REQUIRED","SHALL","SHALLNOT","SHOULD",
"SHOULDNOT","RECOMMENDED","MAY",和"OPTIONAL"在RFC2119[3]中的描述来作解释 。
2.样例展开脚本(Exampledeployment
scenarios)
下面的脚本是在Internet上针对LDAP目录服务的典型的有不同安全需求的样例 。(在下
面的样例中,"sensitive"(敏感的)意味着数据假如暴露(revealed)将对拥有者带来真正
的损害;也有受保护的数据但不是敏感的) 。这里不是为了列举广泛的综合的脚本为目的,其
他脚本是可能的,非凡是在物理保护的网络上 。
(1)只读目录(服务),不包含敏感数据,对任何人("anyone")访问公开,并且
TCP连接拦截或者IP欺骗不是问题 。这个目录不需要安全功能,除非治理服务
的限制 。
(2)只读目录(服务)不包含敏感数据;读访问基于身份(标识)授权 。TCP连接
拦截在当前不是问题 。这个脚本需要安全认证(authentication)功能 。
(3)只读目录(服务)不包含敏感数据;并且客户(程序)需要确保目录数据是经
过服务(程序)验证的和在从服务(程序)返回中没有修改 。
(4)读写目录(服务),不包含敏感数据;读访问对任何人("anyone")有效,更新
访问只针对适当授权的人 。TCP连接拦截当前不是问题 。这个脚本需要安全认
证功能 。
(5)目录包含敏感数据 。这个脚本需要会话(session)秘密性保护和(AND)安全
认证 。
3.认证和授权:定义和概念
这部分定义基本的术语,概念,和认证(authentication)、授权(authorization)、证
明(credentials)及身份(标识)(identity)相关状态(interrelationships) 。这些概念
被使用在描述客户(程序)认证和授权中利用的多少种不同的安全进路(approaches) 。
3.1.存取控制策略AccessControlPolicy
存取控制策略是定义资源的保护、个人或者其他实体(entities)存取这些资源能力的
术语通常规则 。存取控制策略的公用表达式(commoneXPression)是存取控制表(access
controllist) 。安全的对象和机制,就像这里描述的那些能够存取控制策略表达和实施
(enforcement) 。存取控制策略是在下文描述的存取控制属性术语的典型表示 。
3.2.存取控制因素AccessControlFactors
一个请求,当被服务(程序)处理过的时候,可以和各种各样的安全相关
(security-related)因素关联(参见[1]中部分4.2) 。服务(程序)使用这些因素决定是
否或者如何处理请求 。这些被称作存取控制因素(ACFs) 。他们将包括源IP地址、加密强度
(encryptionstrength)、被请求操作的类型、时间日期等等 。一些因素可以针对请求自身
所有,其他可以是通过请求被传送的连接关联、另一些(例如,时间日期)可以是环境
("environmental")(相关的) 。
存取控制策略是存取控制因素术语的表示 。例如,请求有ACFs(存取控制因素)i,j,k
能够执行在资源Z上的Y操作 。这套术语其服务(程序)使这样的表达可用(available)
是工具相关的(implementation-specific) 。
推荐阅读
- 潮汕挑花篮是什么风俗
- 河蟹池塘里的青虾“长毛”咋办
- 如何去看好友空间里的宠物呢
- 快的打车怎么现金付款
- 对于零基础学舞蹈的人有什么建议
- 我对的诺基亚6030的意见
- 什么是rbq
- 如何去除袄子上的玻璃胶
- 公积金是当月缴纳当月的吗
- 线性方程组的特解 线性方程组的特解怎么求