来自服务程序根DSE;参见[LDAPv3]部分3.4) 。这是避免主动中间攻击(active-intermediary
attacks)必要的,主动中间攻击可以在早于TLS建立之前已经改变任何被检索的服务程序能
力信息 。服务程序可以在TLS建立之后公告(advertise)不同的能力(信息) 。
4.关闭TLS连接
4.1.舒缓关闭(GracefulClosure)
或者客户程序或者服务程序可以(MAY)通过发送一TLS关闭警告结束关于LDAP关联的
TLS连接 。这将完整的离开LDAP关联 。
在关闭TLS连接之前,客户程序必须(MUST)或者等待任何未完成的LDAP操作直到完成,
或者明示地(explicitly)放弃它们[LDAPv3] 。
当关闭的启动程序(initiatorofaclose)已经发送一关闭警告之后,它必须(MUST)
丢弃(discard)任何TLS报文直到它已经接收到从另一方来的警告 。它将停止发送TLS记录
协议(TLSRecordProtocol)PDUs,和随着收到警告,可以(MAY)发送和接收LDAPPDUs 。
另一方,假如接收到关闭警告,必须(MUST)立即发送一TLS关闭警告 。它将随后停止
发送TLS记录协议PDUs,和可以(MAY)发送和接收LDAPPDUs 。
4.2.忽然停止(AbruptClosure)
或者客户程序或者服务程序可以(MAY)忽然地关闭整个LDAP关联和任何建立其上的TLS
连接,通过撤销TCP连接 。服务程序在这种情况可以(MAY)预先预备好发送给客户程序一断
开连接通知(NoticeofDisconnection)[LDAPv3] 。
5.关于客户程序的授权身份的TLS效应
(Effects)
这部分描述关于通过在LDAP关联之上建立TLS所带来的客户程序的授权身份的效应 。首
先描述缺省效应,接下来客户程序的授权身份的断言被讨论,包括错误状况 。最后,关闭TLS
连接的效应被描述 。
授权身份和相关概念定义在[AuthMeth] 。
5.1.TLS连接建立效应
5.1.1.缺省效应
针对LDAP关联的TLS连接建立之上,任何建立之前的验证和授权身份必须(MUST)有效
遗留(remaininforce),包括匿名状况 。这甚至在服务程序请求客户程序通过TLS验证请
求情况中保持——例如,请求客户程序在TLS协商期间提供它的证书(参见[TLS]) 。
5.1.2.授权身份的客户断言
客户程序可以(MAY)或者隐含来自它的已授权的TLS证实(authenticatedTLS
credentials)的LDAP授权身份,或者它可以(MAY)显示地提供一授权身份并且它被用在与
它的已授权的TLS证实的结合 。前者称为隐式断言,后者称为显式断言 。
5.1.2.1.隐式断言(ImplicitAssertion)
隐式授权身份断言在通过调用SASL形式的绑定请求的TLS建立之后完成,SASL形式的
绑定请求使用不应该(SHALLNOT)包括可选证实的八位组(octet)字符串(在绑定请求的
SaslCredentials序列中发现)的"EXTERNAL"机制名字[SASL,LDAPv3] 。服务程序将从符合
本地策略的客户程序证实(典型的公钥证书)中提供的验证标识(authenticationidentity)
导出客户程序的授权身份 。如何实现(上述断言)由特定的工具做到 。
5.1.2.2.显式断言(ExplicitAssertion)
显式授权身份断言在通过调用SASL形式的绑定请求的TLS建立之后完成,SASL形式的
绑定请求使用应该(SHALL)包括证实八位组(octet)字符串的"EXTERNAL"机制名字[SASL,
LDAPv3] 。字符串必须(MUST)作为[AuthMeth]部分9中的文档的组成部分 。
5.1.2.3.错误状况(ErrorConditions)
不管断言的形式如何,服务程序必须(MUST)核实客户程序的授权身份作为提供在它的
TLS证实中是答应映射到断言授权身份的 。服务程序必须(MUST)拒绝在绑定回答中以
推荐阅读
- DNS在操作系统中的简单配置
- 鲜花简笔画 鲜花的简单画法
- 第一次接手NOKIA6300之后的简单观点
- 587光年是多少年
- 科学盆养黄粉虫
- 干烧鲳鱼怎么做好吃又简单
- 在iphone里将内存清掉简单操作
- 如何查看小龙虾幼苗
- 抗击肺癌手抄报 抗击肺癌手抄报简单
- oppo R15进行截长图简单操作