RFC2820 日本語訳

Network Working Group                                      E. Stokes
Request for Comments: 2820                                  D. Byrne
Category: Informational                                          IBM
                                                          B. Blakley
                                                              Dascom
                                                           P. Behera
                                                            Netscape
                                                            May 2000

ストークがコメントのために要求するワーキンググループE.をネットワークでつないでください: 2820年のD.バーンカテゴリ: 情報のIBMのブレイクリーDascom P.Behera Netscape B.2000年5月

                  Access Control Requirements for LDAP

LDAPのためのアクセス制御要件

Status of this Memo

このMemoの状態

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。

Copyright Notice

版権情報

   Copyright (C) The Internet Society (2000).  All Rights Reserved.

Copyright(C)インターネット協会(2000)。 All rights reserved。

Abstract

要約

   This document describes the fundamental requirements of an access
   control list (ACL) model for the Lightweight Directory Application
   Protocol (LDAP) directory service.  It is intended to be a gathering
   place for access control requirements needed to provide authorized
   access to and interoperability between directories.

このドキュメントはライト級ディレクトリApplicationプロトコル(LDAP)ディレクトリサービスのためにアクセスコントロールリスト(ACL)モデルの基本的な要件について説明します。 アクセスのための提供するのに必要であるコントロール要件がディレクトリの間のアクセスと相互運用性を認可した集会場所であることは意図しています。

   The keywords "MUST", "SHOULD", and "MAY" used in this document are to
   be interpreted as described in [bradner97].

“MUST"、“SHOULD"、および「5月」が本書では使用したキーワードは[bradner97]で説明されるように解釈されることです。

1.  Introduction

1. 序論

   The ability to securely access (replicate and distribute) directory
   information throughout the network is necessary for successful
   deployment.  LDAP's acceptance as an access protocol for directory
   information is driving the need to provide an access control model
   definition for LDAP directory content among servers within an
   enterprise and the Internet.  Currently LDAP does not define an
   access control model, but is needed to ensure consistent secure
   access across heterogeneous LDAP implementations.  The requirements
   for access control are critical to the successful deployment and
   acceptance of LDAP in the market place.

ネットワーク中でしっかりとディレクトリ情報にアクセスする(模写して、分配します)能力がうまくいっている展開に必要です。 ディレクトリ情報のためのアクセス・プロトコルとしてのLDAPの承認は企業とインターネットの中でLDAPディレクトリ内容のためのアクセス制御モデル定義を提供する必要性をサーバに追い立てています。 現在の、LDAPがアクセス制御モデルを定義しませんが、異種のLDAP実装の向こう側に一貫した安全なアクセスを確実にするのが必要です。 アクセスコントロールのための要件は市場でのLDAPのうまくいっている展開と承認に重要です。

   The RFC 2119 terminology is used in this document.

RFC2119用語は本書では使用されます。

Stokes, et al.               Informational                      [Page 1]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[1ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

2.  Objectives

2. 目的

   The major objective is to provide a simple, but secure, highly
   efficient access control model for LDAP while also providing the
   appropriate flexibility to meet the needs of both the Internet and
   enterprise environments and policies.

主要な目的はまた、インターネットと企業環境と方針の両方の需要を満たすために適切な柔軟性を提供している間、しかし、簡単で、安全で、高能率的なアクセス制御モデルをLDAPに供給することです。

   This generally leads to several general requirements that are
   discussed below.

一般に、これは以下で議論するいくつかの一般的な要件に通じます。

3.  Requirements

3. 要件

   This section is divided into several areas of requirements: general,
   semantics/policy, usability, and nested groups (an unresolved issue).
   The requirements are not in any priority order.  Examples and
   explanatory text is provided where deemed necessary.  Usability is
   perhaps the one set of requirements that is generally overlooked, but
   must be addressed to provide a secure system. Usability is a security
   issue, not just a nice design goal and requirement. If it is
   impossible to set and manage a policy for a secure situation that a
   human can understand, then what was set up will probably be non-
   secure. We all need to think of usability as a functional security
   requirement.

このセクションは要件のいくつかの領域に分割されます: 一般、意味論/方針、ユーザビリティ、および入れ子にされたグループ(未解決問題)。 要件がどんな優先順でもありません。 必要であると考えられたどこを例の、そして、説明しているテキストに提供するか。 ユーザビリティは恐らく一般に見落とされますが、安全なシステムを提供するために扱わなければならない1セットの要件です。 ユーザビリティは良いデザイン目標と要件だけではなく、安全保障問題です。 人間が理解できるのは安全な状況のために方針を設定して、管理するのが不可能であるなら、セットアップされたことはたぶん非安全になるでしょう。 私たちは皆、機能的なセキュリティ要件としてユーザビリティを考える必要があります。

3.1  General

3.1 一般

   G1.  Model SHOULD be general enough to support extensibility to add
   desirable features in the future.

G1。 一般が将来望ましい特徴を加えるために伸展性をサポートするために十分であったなら、SHOULDをモデル化してください。

   G2.  When in doubt, safer is better, especially when establishing
   defaults.

G2。 疑問で特にデフォルトを確立するとき、より安全であるのは、より良いです。

   G3.  ACL administration SHOULD be part of the LDAP protocol.  Access
   control information MUST be an LDAP attribute.

G3。 ACL管理SHOULD、LDAPプロトコルの一部になってください。 アクセス制御情報はLDAP属性であるに違いありません。

   G4.  Object reuse protection SHOULD be provided and MUST NOT inhibit
   implementation of object reuse. The directory SHOULD support policy
   controlling the re-creation of deleted DNs, particularly in cases
   where they are re-created for the purpose of assigning them to a
   subject other than the owner of the deleted DN.

G4。 オブジェクト再利用保護SHOULDは提供されて、オブジェクト再利用の実装を禁止してはいけません。 ディレクトリSHOULDは、方針制御が削除されたDNsの改造であるとサポートします、特にそれらが削除されたDNの所有者以外の対象にそれらを割り当てる目的のために作り直される場合で。

3.2  Semantics / Policy

3.2 意味論/方針

   S1.  Omitted as redundant; see U8.

S1。 余分であるとして、省略されます。 U8を見てください。

   S2.  More specific policies must override less specific ones (e.g.
   individual user entry in ACL SHOULD take precedence over group entry)
   for the evaluation of an ACL.

S2。 より特定の方針はACLの評価のために、それほど特定でないもの(例えばACL SHOULDの個々のユーザエントリーはグループエントリーの上で優先する)をくつがえさなければなりません。

Stokes, et al.               Informational                      [Page 2]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[2ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

   S3.  Multiple policies of equal specificity SHOULD be combined in
   some easily-understood way (e.g. union or intersection).  This is
   best understood by example.  Suppose user A belongs to 3 groups and
   those 3 groups are listed on the ACL. Also suppose that the
   permissions for each of those groups are not identical. Each group is
   of equal specificity (e.g. each group is listed on the ACL) and the
   policy for granting user A access (given the example) SHOULD be
   combined in some easily understood way, such as by intersection or
   union.  For example, an intersection policy here may yield a more
   limited access for user A than a union policy.

S3。 複数の方針、等しい特異性SHOULDにおいて、結合したいくつかで容易に理解されている道(例えば、組合か交差点)はそうです。 これは例に特に解釈されます。 ユーザAが3つのグループに属して、それらの3つのグループがACLに記載されていると仮定してください。 また、それぞれのそれらのグループのための許容が同じでないと仮定してください。 各グループは等しい特異性のもの(例えば各グループはACLに記載されている)です、そして、結合されていて、ユーザAアクセス(例を出す)SHOULDを与えるための方針はいくつかで容易に道を理解していました、交差点や組合などのように。 例えば、ここの交差点方針はユーザAのための組合方針より限られたアクセスをもたらすかもしれません。

   S4.  Newly created directory entries SHOULD be subject to a secure
   default policy.

S4。 新たに、安全なデフォルトへの対象が方針であったならディレクトリエントリーSHOULDを作成しました。

   S5.  Access policy SHOULD NOT be expressed in terms of attributes
   which the directory administrator or his organization cannot
   administer (e.g. groups whose membership is administered by another
   organization).

S5。 方針SHOULD NOTにアクセスしてください。ディレクトリ管理者か彼の組織が管理できない属性(例えば、会員資格が別の組織によって管理されるグループ)で、言い表されます。

   S6.  Access policy SHOULD NOT be expressed in terms of attributes
   which are easily forged (e.g. IP addresses).  There may be valid
   reasons for enabling access based on attributes that are easily
   forged and the behavior/implications of doing that should be
   documented.

S6。 方針SHOULD NOTにアクセスしてください。容易に鍛造される属性(例えば、IPアドレス)で、言い表されてください。 容易に鍛造される属性に基づくアクセスを可能にする正当な理由と記録されるべきであるすることの振舞い/含意があるかもしれません。

   S7.  Humans (including administrators) SHOULD NOT be required to
   manage access policy on the basis of attributes which are not
   "human-readable" (e.g. IP addresses).

S7。 人間、(管理者) SHOULD NOTを含んでいて、「人間読み込み可能でない」属性(例えば、IPアドレス)に基づいてアクセス方針を管理するのを必要であってください。

   S8.  It MUST be possible to deny a subject the right to invoke a
   directory operation.  The system SHOULD NOT require a specific
   implementation of denial (e.g.  explicit denial, implicit denial).

S8。 ディレクトリ操作を呼び出す右を対象に対して否定するのは可能であるに違いありません。 システムSHOULD NOTは否定(例えば、明白な否定、暗黙の否定)の特定の実装を必要とします。

   S9.  The system MUST be able (semantically) to support either
   default-grant or default-deny semantics (not simultaneously).

S9。 システムは、どちらのデフォルト交付金もサポートするか、または意味論(同時でない)をデフォルトで否定するためにできなければなりません(意味的に)。

   S10.  The system MUST be able to support either union semantics or
   intersection semantics for aggregate subjects (not simultaneously).

S10。 システムは集合対象(同時でない)のために組合意味論か交差点意味論のどちらかをサポートすることができなければなりません。

   S11.  Absence of policy SHOULD be interpretable as grant or deny.
   Deny takes precedence over grant among entries of equal specificity.

S11。 または、不在、方針SHOULDでは、交付金として解明できてください、否定します。 等しい特異性のエントリーの中で交付金の上の先行を撮影に対して否定してください。

   S12.  ACL policy resolution MUST NOT depend on the order of entries
   in the ACL.

S12。 ACL方針解決はACLでのエントリーの注文によってはいけません。

   S13.  Rights management MUST have no side effects.  Granting a
   subject one right to an object MUST NOT implicitly grant the same or
   any other subject a different right to the same object.  Granting a

S13。 権利管理は副作用があってはいけません。 オブジェクトへの1つの権利を対象に与えると、同じオブジェクトへの異なった権利はそれとなく同じくらいかいかなる他の対象にも与えられてはいけません。 aを与えます。

Stokes, et al.               Informational                      [Page 3]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[3ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

   privilege attribute to one subject MUST NOT implicitly grant the same
   privilege attribute to any other subject.  Granting a privilege
   attribute to one subject MUST NOT implicitly grant a different
   privilege attribute to the same or any other subject.  Definition: An
   ACL's "scope" is defined as the set of directory objects governed by
   the policy it defines; this set of objects is a sub-tree of the
   directory.  Changing the policy asserted by an ACL (by changing one
   or more of its entries) MUST NOT implicitly change the policy
   governed by an ACL in a different scope.

1個の対象への特権属性はそれとなく同じ特権属性をいかなる他の対象にも与えてはいけません。 特権属性を1個の対象に与えると、異なった特権属性はそれとなく同じくらいかいかなる他の対象にも与えられてはいけません。 定義: ACLの「範囲」はそれが定義する方針で治められたディレクトリオブジェクトのセットと定義されます。 このセットのオブジェクトはディレクトリの下位木です。 ACL(エントリーの1つ以上を変えるのによる)によって断言された方針を変えると、異なった範囲でACLによって支配された方針はそれとなく変化してはいけません。

   S14.  It SHOULD be possible to apply a single policy to multiple
   directory entries, even if those entries are in different subtrees.
   Applying a single policy to multiple directory entries SHOULD NOT
   require creation and storage of multiple copies of the policy data.
   The system SHOULD NOT require a specific implementation (e.g. nested
   groups, named ACLs) of support for policy sharing.

S14。 それ、SHOULD、複数のディレクトリエントリーにただ一つの方針を適用するのにおいて可能であってください、異なった下位木にそれらのエントリーがあっても。 ただ一つの方針を複数のディレクトリに適用して、エントリーSHOULD NOTは方針データの複本の作成とストレージを必要とします。 システムSHOULD NOTは方針共有のサポートの特定の実装(例えばACLsという入れ子にされたグループ)を必要とします。

3.3  Usability (Manageability)

3.3 ユーザビリティ(管理可能性)

   U1.  When in doubt, simpler is better, both at the interface and in
   the implementation.

U1。 疑問でよりよく、そして、ともにインタフェースとコネでは、より簡単であるのは、実装です。

   U2.  Subjects MUST be drawn from the "natural" LDAP namespace; they
   should be DNs.

U2。 「自然な」LDAP名前空間から対象を得なければなりません。 それらはDNsであるべきです。

   U3.  It SHOULD NOT be possible via ACL administration to lock all
   users, including all administrators, out of the directory.

U3。 それ、SHOULD NOT、ディレクトリからすべての管理者を含むすべてのユーザをロックするACL管理を通して可能であってください。

   U4.  Administrators SHOULD NOT be required to evaluate arbitrary
   Boolean predicates in order to create or understand policy.

U4。 管理者SHOULD NOT、方針を作成するか、または理解するために任意のブール述部を評価するのを必要であってください。

   U5.  Administrators SHOULD be able to administer access to
   directories and their attributes based on their sensitivity, without
   having to understand the semantics of individual schema elements and
   their attributes (see U9).

U5。 管理者SHOULD、それらの感度に基づくディレクトリとそれらの属性にアクセスを施すことができてください、個々の図式要素とそれらの属性の意味論を理解する必要はなくて(U9を見てください)。

   U6.  Management of access to resources in an entire subtree SHOULD
   require only one ACL (at the subtree root).  Note that this makes
   access control based explicitly on attribute types very hard, unless
   you constrain the types of entries in subtrees.  For example, another
   attribute is added to an entry. That attribute may fall outside the
   grouping covered by the ACL and hence require additional
   administration where the desired affect is indeed a different ACL.
   Access control information specified in one administrative area MUST
   NOT have jurisdiction in another area.  You SHOULD NOT be able to
   control access to the aliased entry in the alias.  You SHOULD be able
   to control access to the alias name.

U6。 全体の下位木SHOULDのリソースへのアクセスの経営者側は1ACL(下位木根の)だけを必要とします。 アクセスコントロールが属性タイプの上にこれで明らかに非常に強く基づいていることに注意してください、あなたが下位木における、エントリーのタイプを抑制しないなら。 例えば、別の属性はエントリーに加えられます。 その属性は、ACLでカバーされた組分けをそらせて、したがって、本当に、必要な感情が異なったACLである追加管理を必要とするかもしれません。 1つの行政区域で指定されたアクセス制御情報は別の領域で管轄してはいけません。 SHOULD NOT、別名におけるaliasedエントリーへのアクセスを制御できてください。 SHOULD、別名へのアクセスを制御できてください。

Stokes, et al.               Informational                      [Page 4]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[4ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

   U7.  Override of subtree policy MUST be supported on a per-
   directory-entry basis.

U7。 aで下位木方針のオーバーライドをサポートしなければならない、-、ディレクトリエントリ基礎。

   U8.  Control of access to individual directory entry attributes (not
   just the whole directory entry) MUST be supported.

U8。 個々のディレクトリエントリ属性(全体のディレクトリエントリであるだけではない)へのアクセスのコントロールをサポートしなければなりません。

   U9.  Administrator MUST be able to coarsen access policy granularity
   by grouping attributes with similar access sensitivities.

U9。 管理者は、同様のアクセスの敏感さで属性を分類することによって、アクセス方針粒状を粗雑であることができなければなりません。

   U10.  Control of access on a per-user granularity MUST be supported.

U10。 1ユーザあたり1つの粒状におけるアクセスのコントロールをサポートしなければなりません。

   U11.  Administrator MUST be able to aggregate users (for example, by
   assigning them to groups or roles) to simplify administration.

U11。 管理者は、管理を簡素化するためにユーザ(例えばグループか役割に彼らを配属することによって)に集めることができなければなりません。

   U12.  It MUST be possible to review "effective access" of any user,
   group, or role to any entry's attributes. This aids the administrator
   in setting the correct policy.

U12。 どんなユーザ、グループ、または役割の「有効なアクセス」もどんなエントリーの属性にも見直すのは可能であるに違いありません。 これは正しい方針を設定する際に管理者を支援します。

   U13.  A single administrator SHOULD be able to define policy for the
   entire directory tree.  An administrator MUST be able to delegate
   policy administration for specific subtrees to other users.  This
   allows for the partitioning of the entire directory tree for policy
   administration, but still allows a single policy to be defined for
   the entire tree independent of partitioning.  (Partition in this
   context means scope of administration). An administrator MUST be able
   to create new partitions at any point in the directory tree, and MUST
   be able to merge a superior and subordinate partition.  An
   administrator MUST be able to configure whether delegated access
   control information from superior partitions is to be accepted or
   not.

U13。 Aは管理者SHOULDを選抜します。全ディレクトリ木のために方針を定義できてください。 管理者は特定の下位木のために方針管理を他のユーザへ代表として派遣することができなければなりません。 これは、方針管理に関して全ディレクトリ木の仕切りを考慮しますが、ただ一つの方針が仕切りの如何にかかわらず全体の木のために定義されるのをまだ許容しています。 (パーティションはこのような関係においては管理の範囲を意味します。) 管理者は、ディレクトリツリーで任意な点で新しいパーティションを作成できなければならなくて、優れて下位のパーティションを合併できなければなりません。 管理者は、優れたパーティションからの代表として派遣されたアクセス制御情報が受け入れられるかどうかことであることを構成できなければなりません。

   U14.  It MUST be possible to authorize users to traverse directory
   structure even if they are not authorized to examine or modify some
   traversed entries; it MUST also be possible to prohibit this.  The
   tree structure MUST be able to be protected from view if so desired
   by the administrator.

U14。 彼らがいくつかの横断されたエントリーを調べるか、または変更するのは認可されないでも、ユーザがディレクトリ構造を横断するのを認可するのは可能であるに違いありません。 また、これを禁止するのも可能であるに違いありません。 管理者によってそう望まれているなら、木構造は視点から保護できなければなりません。

   U15.  It MUST be possible to create publicly readable entries, which
   may be read even by unauthenticated clients.

U15。 公的に読み込み可能なエントリーを作成するのは可能であるに違いありません。(エントリーは非認証されたクライアントによってさえ読まれるかもしれません)。

   U16.  The model for combining multiple access control list entries
   referring to a single individual MUST be easy to understand.

U16。 単独の個人について言及する複数のアクセスコントロールリストエントリーを結合するためのモデルは分かり易いに違いありません。

   U17.  Administrator MUST be able to determine where inherited policy
   information comes from, that is, where ACLs are located and which
   ACLs were applied. Where inheritance of ACLs is applied, it must be
   able to be shown how/where that new ACL is derived from.

U17。 管理者は、引き継いでいる方針情報がどこから来たか、そして、すなわち、ACLsがどこに位置したか、そして、どのACLsが適用されたかを決定できなければなりません。 ACLsの継承が適用されている、それが/どこそんなに新しいACLがどのように引き出されるかを示すことができなければならないところ。

Stokes, et al.               Informational                      [Page 5]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[5ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

   U18.  It SHOULD be possible for the administrator to configure the
   access control system to permit users to grant additional access
   control rights for entries which they create.

U18。 それ、SHOULD、管理者がユーザがそれらが作成するエントリーへの権利を追加アクセスコントロールに与えることを許可するためにアクセス制御システムを構成するのにおいて、可能であってください。

4.  Security Considerations

4. セキュリティ問題

   Access control is a security consideration.  This documents addresses
   the requirements.

アクセスコントロールは警備上の配慮です。 要件を扱いますこれが、ドキュメントである。

5.  Glossary

5. 用語集

   This glossary is intended to aid the novice not versed in depth about
   access control.  It contains a list of terms and their definitions
   that are commonly used in discussing access control [emca].

この用語集がアクセスコントロールに関して徹底的に作詩をされなかった初心者を支援することを意図します。 それはアクセス制御[emca]について議論する際に用語のリストと一般的に使用される彼らの定義を含んでいます。

   Access control - The prevention of use of a resource by unidentified
   and/or unauthorized entities in any other that an authorized manner.

コントロールにアクセスしてください--、いかなる他のも未確認の、そして/または、権限のない実体でリソースで役に立つ防止、それ、認可された方法。

   Access control list - A set of control attributes.  It is a list,
   associated with a security object or a group of security objects.
   The list contains the names of security subjects and the type of
   access that may be granted.

アクセスコントロールリスト--1セットのコントロール属性。 それは、セキュリティオブジェクトに関連づけられたリストかセキュリティオブジェクトのグループです。 リストはセキュリティ対象の名前と承諾されるかもしれないアクセスのタイプを含んでいます。

   Access control policy - A set of rules, part of a security policy, by
   which human users, or their representatives, are authenticated and by
   which access by these users to applications and other services and
   security objects is granted or denied.

コントロール方針にアクセスしてください--1セットの規則、安全保障政策の一部。(アプリケーション、他のサービス、およびセキュリティオブジェクトへのこれらのユーザによるアクセスは、人間のユーザ、または彼らの代表が認証されて、承諾されるか、またはその一部によって拒絶されます)。

   Access context - The context, in terms of such variables as location,
   time of day, level of security of the underlying associations, etc.,
   in which an access to a security object is made.

文脈にアクセスしてください--位置、時刻、セキュリティオブジェクトへのアクセスがされる基本的な協会のセキュリティのレベルなどのような変数の文脈。

   Authorization - The granting of access to a security object.

承認--セキュリティオブジェクトへのアクセスを与えること。

   Authorization policy - A set of rules, part of an access control
   policy, by which access by security subjects to security objects is
   granted or denied.  An authorization policy may be defined in terms
   of access control lists, capabilities, or attributes assigned to
   security subjects, security objects, or both.

承認方針--セキュリティオブジェクトへのセキュリティ対象によるどのアクセスで1セットの規則(アクセス制御方針の一部)を与えるか、または否定するか。 承認方針はセキュリティ対象、セキュリティオブジェクト、または両方に割り当てられたアクセスコントロールリスト、能力、または属性で定義されるかもしれません。

   Control attributes - Attributes, associated with a security object
   that, when matched against the privilege attributes of a security
   subject, are used to grant or deny access to the security object.  An
   access control list or list of rights or time of day range are
   examples of control attributes.

属性--属性を制御してください、セキュリティ対象の特権属性に対して合わせられているとセキュリティオブジェクトへのアクセスを承諾するか、または拒絶するのに使用されるセキュリティオブジェクトに関連しています。 権利か時刻範囲のアクセスコントロールリストかリストがコントロール属性に関する例です。

   Credentials - Data that serve to establish the claimed identity of a
   security subject relative to a given security domain.

資格証明書--与えられたセキュリティー領域に比例してセキュリティ対象の要求されたアイデンティティを確立するのに役立つデータ。

Stokes, et al.               Informational                      [Page 6]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[6ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

   Privilege attributes - Attributes, associated with a security subject
   that, when matched against control attributes of a security object,
   are used to grant or deny access to that subject.  Group and role
   memberships are examples of privilege attributes.

特権属性--セキュリティオブジェクトのコントロール属性に対して合わせられているとその対象へのアクセスを承諾するか、または拒絶するのに使用されるセキュリティ対象に関連づけられた属性。 グループと役割の会員資格は特権属性に関する例です。

   Security attributes - A general term covering both privilege
   attributes and control attributes.  The use of security attributes is
   defined by a security policy.

セキュリティー属性--特権属性とコントロール属性の両方をカバーする一般項。 セキュリティー属性の使用は安全保障政策で定義されます。

   Security object - An entity in a passive role to which a security
   policy applies.

セキュリティオブジェクト--安全保障政策が適用される受け身の役割における実体。

   Security policy - A general term covering both access control
   policies and authorization policies.

安全保障政策--アクセス制御方針と承認方針の両方をカバーする一般項。

   Security subject - An entity in an active role to which a security
   policy applies.

セキュリティ対象--安全保障政策が適用される積極的役割における実体。

6.  References

6. 参照

   [ldap]      Kille, S., Howes, T. and M. Wahl, "Lightweight Directory
               Access Protocol (v3)", RFC 2251, August 1997.

[ldap]KilleとS.とハウズとT.とM.ウォール、「ライトウェイト・ディレクトリ・アクセス・プロトコル(v3)」、RFC2251 1997年8月。

   [ecma]      ECMA, "Security in Open Systems: A Security Framework"
               ECMA TR/46, July 1988.

[ecma]ECMA、「オープンシステムのセキュリティ:」 1988年7月の「セキュリティフレームワーク」ECMA TR/46。

   [bradner97] Bradner, S., "Key Words for use in RFCs to Indicate
               Requirement Levels", BCP 14, RFC 2119, March 1997.

[bradner97] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のための主要なワーズ」、BCP14、RFC2119、1997年3月。

Stokes, et al.               Informational                      [Page 7]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[7ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

7. Authors' Addresses

7. 作者のアドレス

   Bob Blakley
   Dascom
   5515 Balcones Drive
   Austin, TX 78731
   USA

ボブブレイクリーDascom5515Balcones Driveテキサス78731オースチン(米国)

   Phone: +1 512 458 4037  ext 5012
   Fax:   +1 512 458 2377
   EMail: blakley@dascom.com

以下に電話をしてください。 +1 512 458 4037ext5012Fax: +1 2377年の512 458メール: blakley@dascom.com

   Ellen Stokes
   IBM
   11400 Burnet Rd
   Austin, TX 78758
   USA

エレンはIBM11400ワレモコウテキサス78758第オースチン(米国)に燃料を補給します。

   Phone: +1 512 838 3725
   Fax:   +1 512 838 0156
   EMail: stokes@austin.ibm.com

以下に電話をしてください。 +1 512 838、3725Fax: +1 0156年の512 838メール: stokes@austin.ibm.com

   Debbie Byrne
   IBM
   11400 Burnet Rd
   Austin, TX 78758
   USA

デビーバーンIBM11400ワレモコウテキサス78758第オースチン(米国)

   Phone: +1 512 838 1930
   Fax:   +1 512 838 8597
   EMail: djbyrne@us.ibm.com

以下に電話をしてください。 +1 512 838、1930Fax: +1 8597年の512 838メール: djbyrne@us.ibm.com

   Prasanta Behera
   Netscape
   501 Ellis Street
   Mountain View, CA 94043
   USA

Prasanta Behera Netscape501エリス・通りカリフォルニア94043マウンテンビュー(米国)

   Phone: +1 650 937 4948
   Fax:   +1 650 528-4164
   EMail: prasanta@netscape.com

以下に電話をしてください。 +1 650 937、4948Fax: +1 650 528-4164 メールしてください: prasanta@netscape.com

Stokes, et al.               Informational                      [Page 8]

RFC 2820          Access Control Requirements for LDAP          May 2000

ストーク、他 情報[8ページ]のRFC2820は2000年5月にLDAPのためのコントロール要件にアクセスします。

8.  Full Copyright Statement

8. 完全な著作権宣言文

   Copyright (C) The Internet Society (2000).  All Rights Reserved.

Copyright(C)インターネット協会(2000)。 All rights reserved。

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。

Acknowledgement

承認

   Funding for the RFC Editor function is currently provided by the
   Internet Society.

RFC Editor機能のための基金は現在、インターネット協会によって提供されます。

Stokes, et al.               Informational                      [Page 9]

ストーク、他 情報[9ページ]