返回confidentialityRequired或者strongAuthRequired结果 。(而)客户程序可以(MAY)
发送启动TLS扩展请求,或者可以(MAY)选择关闭连接 。
3.2.启动TLS
假如服务程序愿意和有能力协商TLS,则服务程序将返回成功的resultCode扩展回答 。
假如不能,则返回本文上面描述的其他resultCodes 。
在成功的情况下,客户程序在连接中已经停止了传送LDAP请求,(客户程序)必须(MUST)
或者开始TLS协商或者关闭连接 。客户程序将在对服务程序初始化TLS协商[TLS]的基于传输
连接的TLS记录协议(TLSRecordProtocol)中发送PDUs 。
3.3.TLS版本协商
应用TLS或者SSL的版本协商是TLS握手协议(TLSHandshakeProtocol)的一部分,
在[TLS]文档中具体描述,请参阅 。
3.4.结果安全级的发现(DiscoveryofResultantSecurity
Level)
在TLS连接被建立在LDAP关联之后,双方必须(MUST)逐个判定是否继续构建(basedon)
私有级取得(theprivacylevelachieved) 。查明TLS连接的私有级是执行工具
(implementation)的依靠,以及通过各自的本地(local)TLS执行完成 。
假如客户程序或者服务程序对于继续的执行判定验证或者私有级还不够高的级别,它应
该(SHOULD)大方地在TLS协商已经完成之后立即关闭TLS连接(参见4.1和5.2部分) 。
客户程序可以(MAY)尝试再次启动TLS,或者可以(MAY)发送拆分(unbind)请求,
或者发送任何其他LDAP请求 。
3.5.客户程序授权身份(Client"sAuthorizationIdentity)
的断言
客户程序可以(MAY)在表明成功的启动TLS扩展回答到达时,断言在判定客户程序的授
权状态中特定的授权身份被利用 。客户程序通过LDAP绑定请求指定SASL[SASL]的"EXTERNAL"
机制来完成 。参见本文后面的5.1.2部分 。
3.6.服务程序身份检查
客户程序必须检查针对存在于服务程序证书信息中的服务程序身份,以便理解服务程序
主机名,目的是为了阻止中间人攻击(man-in-the-middleattacks) 。
匹配执行按照下列规则:
-客户程序必须(MUST)使用打开LDAP连接的那个服务程序主机名作为比较在服务程序
证书中表示的服务程序名 。客户程序一定不能(MUSTNOT)使用服务程序规范的DNS名字
或者任何其他导出的形式名字(formofname) 。
-假如类型dNSName的subjectAltName扩展出现在证书中,它应该被用于服务程序身份
的来源 。
-匹配是大小写无关的(case-insensitive) 。
-通配符"*"是答应的 。假如存在,它仅适用于最左面名字的组成部分 。
例如*.bar.com将匹配a.bar.com,b.bar.com,等等 。但不能是bar.com 。假如存在证书
中的给定类型的身份超过一个(例如,多于一个的dNSName名字),在(身份名字)集合中任
何一个被考虑是可接受的 。
假如在上面每一个检查规格中主机名没有匹配基于dNSName(dNSName-based)的身份,
面向用户的客户程序应该或者通知用户(不管怎么样程序可以(MAY)提供给用户一个机会是
否继续连接)或者决定连接并且指示服务程序的身份是受怀疑的 。自动化的客户程序应该
(SHOULD)关闭连接,返回和/或错误日志表明服务程序的身份是受怀疑的 。
超出这部分关于服务程序身份检查的描述,客户程序应该(SHOULD)预备进一步进行检
查以确保服务程序对它提供的服务是被授权的 。客户程序可以(MAY)(需要)使用本地策略
信息 。
3.7.服务程序能力信息的刷新
客户程序必须(MUST)在TLS会话建立之上刷新任何缓存的服务程序能力的信息(例如,
推荐阅读
- DNS在操作系统中的简单配置
- 鲜花简笔画 鲜花的简单画法
- 第一次接手NOKIA6300之后的简单观点
- 587光年是多少年
- 科学盆养黄粉虫
- 干烧鲳鱼怎么做好吃又简单
- 在iphone里将内存清掉简单操作
- 如何查看小龙虾幼苗
- 抗击肺癌手抄报 抗击肺癌手抄报简单
- oppo R15进行截长图简单操作