云南龙网

  1. 首页 > 云知道 > >

v3 简单目录访问协议:传输层安全扩展( 五 )

云知道


invalidCredentialsresultCode(回答)的绑定操作,假如客户程序没有被这样授权 。
作为断言形式的补充,假如TLS会话还没有在制作SASLEXTERNAL绑定请求之前在客户
程序和服务程序之间建立,并且没有其他的外来证实(例如IP-levelsecurity[IPSEC]),
或者假如在TLS会话建立处理期间,服务程序没有请求客户程序的证实,SASLEXTERNAL绑
定必须(MUST)以结果码inappropriateAuthentication失败 。
在上述绑定操作失败后,任何客户程序的证实和LDAP关联的授权状态丢失,所以失败之
后LDAP关联是匿名状态 。TLS连接状态不受影响,服务程序可以(MAY)在绑定失败的基础
上通过TLS关闭通知(close_notify)报文结束TLS连接(可以(MAY)在任何时候) 。
5.2.TLS连接关闭效应
TLS连接的关闭必须(MUST)引发(cause)LDAP关联移向匿名证实和授权状态,而不管
基于TLS之上建立的状态以及不管TLS连接建立之前证实和授权的状态如何 。
6.安全考虑
关于LDAP使用TLS协议的目的是确保连接的机密性(confidentiality)和完整性
(integrity),以及可选择提供的(身份)证实 。TLS专门提供的这些能力在[TLS]中描述 。
所有通过启动TLS操作的使用获得的安全通过TLS自身的使用得到改善 。启动TLS操作,
作为它自己,没有提供任何额外的安全 。
TLS的使用没有提供或者确保通过基于LDAP(LDAP-based)目录服务数据入住(thedata
housed)的机密性和/或不可否认性(non-repudiation) 。也没有保护数据免于服务治理者的
审查(inspection) 。一旦建立(完成),TLS仅提供和确保在LDAP关联之上传输中的操作和
数据的机密性和完整性,并且仅当客户程序和服务程序都支持和协商(建立) 。
安全级(Thelevelofsecurity)通过直接依靠于TLS工具(implementation)使用的
质量(quality)和使用方式(style)的TLS的使用提供 。另外,主动中间攻击者
(active-intermediaryattacker)能够从根DSE(therootDSE)的supportedExtension
属性中除去(remove)启动TLS扩展操作 。因此,双方应该(SHOULD)独立地查明和同意
TLS建立后取得的安全级,以及在TLS连接使用开始之前 。例如,TLS连接的安全级可以已经
协商到明文(plaintext) 。
客户程序应该(SHOULD)或者警告用户,当取得的安全级没有提供机密性和/或完整性保
护,或者被配置为在没有可接受的安全级时拒绝继续执行 。
客户和服务实现程序应该(SHOULD)采取措施确保恰当的(身份)证实保护和其它没有
被TLS工具提供(这样)措施(保护)的机密数据(的保护) 。
服务实现程序应该(SHOULD)答应服务治理者选择(elect)当连接机密和/或完整性被
需求时的任何一个,还可以选择当客户程序通过TLS授权被需求时的任何一个 。
7.确认
作者感谢为这篇文章做出贡献的TimHowes,PaulHoffman,JohnKristian,Shirish
Rai,JonathanTrostle,HaraldAlvestrand,和MarcusLeech 。
8.参考
[AuthMeth]Wahl,M.,Alvestrand,H.,Hodges,J.andR.Morgan,
"AuthenticationMethodsforLDAP",RFC2829,May2000.
[IPSEC]Kent,S.andR.Atkinson,"SecurityArchitecturefor
theInternetProtocol",RFC2401,November1998.
[LDAPv3]Wahl,M.,KilleS.andT.Howes,"Lightweight
DirectoryAccessProtocol(v3)",RFC2251,December
1997.
[ReqsKeywords]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.
[SASL]Myers,J.,"SimpleAuthenticationandSecurityLayer
(SASL)",RFC2222,October1997.
[TLS]Dierks,T.andC.Allen."TheTLSProtocolVersion
1.0",RFC2246,January1999.
9.作者地址

推荐阅读


上一篇:锡纸能代替油纸吗

下一篇:微信如何使用声音锁登录