RFC2830 日本語訳
2830 Lightweight Directory Access Protocol (v3): Extension forTransport Layer Security. J. Hodges, R. Morgan, M. Wahl. May 2000. (Format: TXT=24469 bytes) (Obsoleted by RFC4511, RFC4513, RFC4510) (Updated by RFC3377) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group J. Hodges
Request for Comments: 2830 Oblix Inc.
Category: Standards Track R. Morgan
Univ of Washington
M. Wahl
Sun Microsystems, Inc.
May 2000
コメントを求めるワーキンググループJ.ホッジズ要求をネットワークでつないでください: 2830年のOblix株式会社カテゴリ: 規格はM.ウォールサン・マイクロシステムズ・インク2000年5月にワシントンのR.モーガンUnivを追跡します。
Lightweight Directory Access Protocol (v3):
Extension for Transport Layer Security
ライトウェイト・ディレクトリ・アクセス・プロトコル(v3): トランスポート層セキュリティのための拡大
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
Abstract
要約
This document defines the "Start Transport Layer Security (TLS) Operation" for LDAP [LDAPv3, TLS]. This operation provides for TLS establishment in an LDAP association and is defined in terms of an LDAP extended request.
このドキュメントはLDAP[LDAPv3、TLS]のために「スタートトランスポート層セキュリティ(TLS)操作」を定義します。 この操作は、LDAP協会でTLS設立に備えて、LDAPの拡張要求で定義されます。
1. Conventions Used in this Document
1. このDocumentのコンベンションUsed
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [ReqsKeywords].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTは[ReqsKeywords]で説明されるように本書では解釈されることであるべきですか?
2. The Start TLS Request
2. TLSが要求する始め
This section describes the Start TLS extended request and extended response themselves: how to form the request, the form of the response, and enumerates the various result codes the client MUST be prepared to handle.
このセクションは自分たちでStart TLSの拡張要求と拡張応答について説明します: どのように、要求、応答のフォームを形成して、クライアントが扱う用意ができていなければならない様々な結果コードを列挙するか。
The section following this one then describes how to sequence an overall Start TLS Operation.
その時これに続くセクションは総合的なStart TLS Operationを配列する方法を説明します。
Hodges, et al. Standards Track [Page 1] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[1ページ]: トランスポート層セキュリティ2000年5月のための拡大
2.1. Requesting TLS Establishment
2.1. TLS設立を要求します。
A client may perform a Start TLS operation by transmitting an LDAP PDU containing an ExtendedRequest [LDAPv3] specifying the OID for the Start TLS operation:
クライアントはStart TLS操作にOIDを指定しながらExtendedRequest[LDAPv3]を含むLDAP PDUを伝えることによって、Start TLS操作を実行するかもしれません:
1.3.6.1.4.1.1466.20037
1.3.6.1.4.1.1466.20037
An LDAP ExtendedRequest is defined as follows:
LDAP ExtendedRequestは以下の通り定義されます:
ExtendedRequest ::= [APPLICATION 23] SEQUENCE {
requestName [0] LDAPOID,
requestValue [1] OCTET STRING OPTIONAL }
ExtendedRequest:、:= [アプリケーション23] 系列requestName[0]LDAPOIDで、requestValue[1]八重奏ストリング任意です。
A Start TLS extended request is formed by setting the requestName field to the OID string given above. The requestValue field is absent. The client MUST NOT send any PDUs on this connection following this request until it receives a Start TLS extended response.
拡張要求が上に与えられたOIDストリングにrequestName分野を設定しながら形成されるStart TLS。 requestValue分野は欠けています。 クライアントはStart TLSが受信するまで応答を広げたというこの要求の後をつけるこの接続に少しのPDUsも送ってはいけません。
When a Start TLS extended request is made, the server MUST return an LDAP PDU containing a Start TLS extended response. An LDAP ExtendedResponse is defined as follows:
サーバは、Start TLSが広がったとき、要求をして、Start TLSが広げたLDAP PDU含有に応答を返さなければなりません。 LDAP ExtendedResponseは以下の通り定義されます:
ExtendedResponse ::= [APPLICATION 24] SEQUENCE {
COMPONENTS OF LDAPResult,
responseName [10] LDAPOID OPTIONAL,
response [11] OCTET STRING OPTIONAL }
ExtendedResponse:、:= [アプリケーション24] 系列COMPONENTS OF LDAPResult、responseName[10]LDAPOID OPTIONAL、応答[11]OCTET STRING OPTIONAL
A Start TLS extended response MUST contain a responseName field which MUST be set to the same string as that in the responseName field present in the Start TLS extended request. The response field is absent. The server MUST set the resultCode field to either success or one of the other values outlined in section 2.3.
Start TLSの拡張応答はStart TLSの拡張要求の現在のresponseName分野のそれと同じストリングに設定しなければならないresponseName分野を含まなければなりません。 応答分野は欠けています。 サーバは成功かセクション2.3で概説された他の値の1つのどちらかにresultCode分野を設定しなければなりません。
2.2. "Success" Response
2.2. 「成功」応答
If the ExtendedResponse contains a resultCode of success, this indicates that the server is willing and able to negotiate TLS. Refer to section 3, below, for details.
ExtendedResponseが成功のresultCodeを含んでいるなら、これは、サーバが望んでいてTLSを交渉できるのを示します。 詳細についてセクション3を以下を参照してください。
2.3. Response other than "success"
2.3. 「成功」を除いた応答
If the ExtendedResponse contains a resultCode other than success, this indicates that the server is unwilling or unable to negotiate TLS.
ExtendedResponseが成功以外のresultCodeを含んでいるなら、これは、サーバが不本意であるか、またはTLSを交渉できないのを示します。
Hodges, et al. Standards Track [Page 2] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[2ページ]: トランスポート層セキュリティ2000年5月のための拡大
If the Start TLS extended request was not successful, the resultCode will be one of:
Start TLSの拡張要求がうまくいかなかったなら、resultCodeは1であるために以下を望んでいます。
operationsError (operations sequencing incorrect; e.g. TLS already
established)
operationsError(操作配列不正確;、例えば既に設立されたTLS)
protocolError (TLS not supported or incorrect PDU structure)
protocolError(TLSのサポートしていないか不正確でないPDU構造)
referral (this server doesn't do TLS, try this one)
紹介(このサーバはTLSをしないで、これを試みてください)
unavailable (e.g. some major problem with TLS, or server is
shutting down)
入手できません(TLS、またはサーバに関する例えば何らかの大した問題がそうである、停止します)
The server MUST return operationsError if the client violates any of the Start TLS extended operation sequencing requirements described in section 3, below.
クライアントが以下の拡大手術配列要件がセクション3で説明したStart TLSのどれかに違反するなら、サーバはoperationsErrorを返さなければなりません。
If the server does not support TLS (whether by design or by current configuration), it MUST set the resultCode to protocolError (see section 4.1.1 of [LDAPv3]), or to referral. The server MUST include an actual referral value in the LDAP Result if it returns a resultCode of referral. The client's current session is unaffected if the server does not support TLS. The client MAY proceed with any LDAP operation, or it MAY close the connection.
サーバがTLSをサポートしないなら(デザインか現在の構成にかかわらず)、それはprotocolError(.1セクション4.1[LDAPv3]を見る)、または、紹介にresultCodeを設定しなければなりません。 紹介のresultCodeを返すなら、サーバはLDAP Resultに実際の紹介値を含まなければなりません。 サーバがTLSをサポートしないなら、クライアントの現在のセッションは影響を受けないです。 クライアントがどんなLDAP操作も続けるかもしれませんか、またはそれは接続を終えるかもしれません。
The server MUST return unavailable if it supports TLS but cannot establish a TLS connection for some reason, e.g. the certificate server not responding, it cannot contact its TLS implementation, or if the server is in process of shutting down. The client MAY retry the StartTLS operation, or it MAY proceed with any other LDAP operation, or it MAY close the connection.
サーバは確立しなければなりません。入手できないリターンは、それであるなら何らかの理由、例えば証明書サーバが反応しない場合、TLS実装に連絡できませんし、サーバが停止するプロセスにありもするならTLSをサポートしますが、TLS接続は確立できません。 クライアントがStartTLS操作を再試行するかもしれませんか、いかなる他のLDAP操作も続けるかもしれませんか、またはそれは接続を終えるかもしれません。
3. Sequencing of the Start TLS Operation
3. スタートTLS操作の配列
This section describes the overall procedures clients and servers MUST follow for TLS establishment. These procedures take into consideration various aspects of the overall security of the LDAP association including discovery of resultant security level and assertion of the client's authorization identity.
このセクションは総合的な手順クライアントについて説明します、そして、サーバはTLS設立のために従わなければなりません。 これらの手順は結果のセキュリティー・レベルの発見とクライアントの承認のアイデンティティの主張を含むLDAP協会の総合的なセキュリティの種々相を考慮に入れます。
Note that the precise effects, on a client's authorization identity, of establishing TLS on an LDAP association are described in detail in section 5.
正確が作用する注意、クライアントの承認のアイデンティティでは、設立では、LDAP協会のTLSは詳細にセクション5で説明されます。
Hodges, et al. Standards Track [Page 3] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[3ページ]: トランスポート層セキュリティ2000年5月のための拡大
3.1. Requesting to Start TLS on an LDAP Association
3.1. LDAP協会にTLSを始動する要求
The client MAY send the Start TLS extended request at any time after establishing an LDAP association, except that in the following cases the client MUST NOT send a Start TLS extended request:
LDAP協会を設立した後にクライアントはいつでも拡張要求をStart TLSに送るかもしれません、クライアントが送ってはいけない以下の場合では、Start TLSが要求を広げたのを除いて:
- if TLS is currently established on the connection, or
- during a multi-stage SASL negotiation, or
- if there are any LDAP operations outstanding on the connection.
- または、または、TLSが接続のときに現在設立されるなら--マルチステージSASL交渉の間--何か接続の未払いのLDAP操作があれば。
The result of violating any of these requirements is a resultCode of operationsError, as described above in section 2.3.
これらの要件のどれかに違反するという結果は上でセクション2.3で説明されるようにoperationsErrorのresultCodeです。
The client MAY have already performed a Bind operation when it sends a Start TLS request, or the client might have not yet bound.
Start TLS要求を送るとき、クライアントが既にBind操作を実行したかもしれませんか、またはクライアントはまだ付いていないかもしれません。
If the client did not establish a TLS connection before sending any other requests, and the server requires the client to establish a TLS connection before performing a particular request, the server MUST reject that request with a confidentialityRequired or strongAuthRequired result. The client MAY send a Start TLS extended request, or it MAY choose to close the connection.
いかなる他の要求も送る前に、クライアントがTLS接続を確立しないで、サーバが、特定の要求を実行する前にクライアントがTLS接続を確立するのを必要とするなら、サーバはconfidentialityRequiredかstrongAuthRequired結果でその要求を拒絶しなければなりません。 クライアントは拡張要求、またはそれが閉じるのを選ぶかもしれないStart TLSに接続を送るかもしれません。
3.2. Starting TLS
3.2. 始めのTLS
The server will return an extended response with the resultCode of success if it is willing and able to negotiate TLS. It will return other resultCodes, documented above, if it is unable.
望んでいてTLSを交渉できると、サーバは成功のresultCodeとの拡張応答を返すでしょう。 それであることができないなら、それは上に記録された他のresultCodesを返すでしょう。
In the successful case, the client, which has ceased to transfer LDAP requests on the connection, MUST either begin a TLS negotiation or close the connection. The client will send PDUs in the TLS Record Protocol directly over the underlying transport connection to the server to initiate TLS negotiation [TLS].
うまくいっている場合では、クライアント(接続に関するLDAP要求を移すのをやめた)は、TLS交渉を始めなければならないか、または接続を終えなければなりません。 クライアントは、TLS交渉[TLS]を開始するためにTLS Recordプロトコルでサーバとの基本的な輸送接続の直接上にPDUsを送るでしょう。
3.3. TLS Version Negotiation
3.3. TLSバージョン交渉
Negotiating the version of TLS or SSL to be used is a part of the TLS Handshake Protocol, as documented in [TLS]. Please refer to that document for details.
使用されるためにTLSかSSLのバージョンを交渉するのは、TLS Handshakeプロトコルの一部です、[TLS]に記録されるように。 詳細のためのそのドキュメントを参照してください。
3.4. Discovery of Resultant Security Level
3.4. 結果のセキュリティー・レベルの発見
After a TLS connection is established on an LDAP association, both parties MUST individually decide whether or not to continue based on the privacy level achieved. Ascertaining the TLS connection's privacy level is implementation dependent, and accomplished by communicating with one's respective local TLS implementation.
TLS接続がLDAP協会で確立された後に、双方は、レベルが実現したプライバシーに基づいて続くかどうか個別に決めなければなりません。 人のそれぞれの地方のTLS実装とコミュニケートするのを確かめますTLS接続のプライバシーレベルが実装に依存していて、優れている。
Hodges, et al. Standards Track [Page 4] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[4ページ]: トランスポート層セキュリティ2000年5月のための拡大
If the client or server decides that the level of authentication or privacy is not high enough for it to continue, it SHOULD gracefully close the TLS connection immediately after the TLS negotiation has completed (see sections 4.1 and 5.2, below).
クライアントかサーバが決めるなら、認証かプライバシーのレベルが続けることができるくらいには高くなく、それがSHOULDであることは交渉が完成したTLS直後優雅にTLS接続を終えます(以下でセクション4.1と5.2を見てください)。
The client MAY attempt to Start TLS again, or MAY send an unbind request, or send any other LDAP request.
クライアントが再びStart TLSに試みるか、または送るかもしれない、要求を解くか、またはいかなる他のLDAP要求も送ってください。
3.5. Assertion of Client's Authorization Identity
3.5. クライアントの承認のアイデンティティの主張
The client MAY, upon receipt of a Start TLS extended response indicating success, assert that a specific authorization identity be utilized in determining the client's authorization status. The client accomplishes this via an LDAP Bind request specifying a SASL mechanism of "EXTERNAL" [SASL]. See section 5.1.2, below.
成功を示すStart TLSの拡張応答を受け取り次第、クライアントは、特定の承認のアイデンティティがクライアントの承認状態を決定する際に利用されると断言するかもしれません。 クライアントは、「外部」の[SASL]のSASLメカニズムを指定しながら、LDAP Bind要求でこれを達成します。 セクション5.1.2未満を見てください。
3.6. Server Identity Check
3.6. サーバ身元確認
The client MUST check its understanding of the server's hostname against the server's identity as presented in the server's Certificate message, in order to prevent man-in-the-middle attacks.
クライアントはサーバのCertificateメッセージに示されるようにサーバのアイデンティティに対してサーバのホスト名に関する理解をチェックしなければなりません、介入者攻撃を防ぐために。
Matching is performed according to these rules:
これらの規則に従って、マッチングは実行されます:
- The client MUST use the server hostname it used to open the LDAP
connection as the value to compare against the server name as
expressed in the server's certificate. The client MUST NOT use the
server's canonical DNS name or any other derived form of name.
- クライアントはそれがサーバの証明書で言い表されるようにサーバー名に対して比較するために値としてLDAP接続を開くのに使用したサーバホスト名を使用しなければなりません。 クライアントはサーバの正準なDNS名か名前のいかなる他の派生形も使用してはいけません。
- If a subjectAltName extension of type dNSName is present in the
certificate, it SHOULD be used as the source of the server's
identity.
- タイプdNSNameの拡大はsubjectAltNameであるなら証明書に存在していて、それはSHOULDです。サーバのアイデンティティの源として、使用されます。
- Matching is case-insensitive.
- マッチングは大文字と小文字を区別しないです。
- The "*" wildcard character is allowed. If present, it applies only
to the left-most name component.
- 「*」ワイルドカードキャラクタは許容されています。 存在しているなら、それはコンポーネントという最も左の名だけに適用されます。
E.g. *.bar.com would match a.bar.com, b.bar.com, etc. but not bar.com. If more than one identity of a given type is present in the certificate (e.g. more than one dNSName name), a match in any one of the set is considered acceptable.
例えば *.bar.comはbar.comではなく、a.bar.com、b.bar.comなどに合っているでしょう。 与えられたタイプの1つ以上のアイデンティティが証明書(例えば、1つ以上のdNSName名)に存在しているなら、セットのどれかにおけるマッチは許容できると考えられます。
If the hostname does not match the dNSName-based identity in the certificate per the above check, user-oriented clients SHOULD either notify the user (clients MAY give the user the opportunity to
ホスト名が上のチェックあたりの証明書のdNSNameベースのアイデンティティに合っていないなら、利用者志向クライアントSHOULDがユーザに通知する、(クライアントは機会をユーザに与えるかもしれません。
Hodges, et al. Standards Track [Page 5] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[5ページ]: トランスポート層セキュリティ2000年5月のための拡大
continue with the connection in any case) or terminate the connection and indicate that the server's identity is suspect. Automated clients SHOULD close the connection, returning and/or logging an error indicating that the server's identity is suspect.
または、続行、中に接続があるどんなケースも)、接続を終えてください、そして、サーバのアイデンティティが疑わしいのを示してください。 サーバのアイデンティティが疑わしいのを示す誤りを返す、そして/または、登録して、自動化されたクライアントSHOULDは接続を終えます。
Beyond the server identity checks described in this section, clients SHOULD be prepared to do further checking to ensure that the server is authorized to provide the service it is observed to provide. The client MAY need to make use of local policy information.
身元確認がこのセクション、クライアントSHOULDで説明したサーバを超えて、サーバが提供するのが認可される確実にするさらなる照合にそれが提供するために観測されるサービスをするように用意してください。 クライアントは、ローカルの方針情報を利用する必要があるかもしれません。
3.7. Refresh of Server Capabilities Information
3.7. サーバ能力情報をリフレッシュしてください。
The client MUST refresh any cached server capabilities information (e.g. from the server's root DSE; see section 3.4 of [LDAPv3]) upon TLS session establishment. This is necessary to protect against active-intermediary attacks which may have altered any server capabilities information retrieved prior to TLS establishment. The server MAY advertise different capabilities after TLS establishment.
クライアントはTLSセッション設立のときにどんなキャッシュされたサーバ能力情報もリフレッシュしなければなりません(例えば、サーバの根のDSEから; [LDAPv3]のセクション3.4を見てください)。 これが、TLS設立の前に検索されたどんなサーバ能力情報も変更した活発な仲介者攻撃から守るのに必要です。 サーバはTLS設立の後に異なった能力の広告を出すかもしれません。
4. Closing a TLS Connection
4. TLS接続を終えます。
4.1. Graceful Closure
4.1. 優雅な閉鎖
Either the client or server MAY terminate the TLS connection on an LDAP association by sending a TLS closure alert. This will leave the LDAP association intact.
クライアントかサーバが、LDAP協会でTLS閉鎖警戒を送ることによって、TLS接続を終えるかもしれません。 これはLDAP協会を完全なままにするでしょう。
Before closing a TLS connection, the client MUST either wait for any outstanding LDAP operations to complete, or explicitly abandon them [LDAPv3].
TLS接続を終える前に、クライアントは、完了するどんな傑出しているLDAP操作も待たなければならないか、または明らかに、それら[LDAPv3]を捨てなければなりません。
After the initiator of a close has sent a closure alert, it MUST discard any TLS messages until it has received an alert from the other party. It will cease to send TLS Record Protocol PDUs, and following the receipt of the alert, MAY send and receive LDAP PDUs.
閉鎖の創始者が閉鎖警戒を送った後に、それは相手から警戒を受けるまでどんなTLSメッセージも捨てなければなりません。 それが、TLS RecordプロトコルPDUsを送るのをやめて、警戒の領収書に従って、LDAP PDUsを送って、受けるかもしれません。
The other party, if it receives a closure alert, MUST immediately transmit a TLS closure alert. It will subsequently cease to send TLS Record Protocol PDUs, and MAY send and receive LDAP PDUs.
閉鎖警戒を受けるなら、相手はすぐに、TLS閉鎖警戒を伝えなければなりません。 それは、LDAP PDUsを次にTLS RecordプロトコルPDUsを送るのをやめて、送って、受けるかもしれません。
4.2. Abrupt Closure
4.2. 突然の閉鎖
Either the client or server MAY abruptly close the entire LDAP association and any TLS connection established on it by dropping the underlying TCP connection. A server MAY beforehand send the client a Notice of Disconnection [LDAPv3] in this case.
クライアントかサーバが突然にそれで基本的なTCP接続を下げることによって確立された全体のLDAP協会とどんなTLS接続も終えるかもしれません。 サーバはこの場合あらかじめ、Disconnection[LDAPv3]のNoticeをクライアントに送るかもしれません。
Hodges, et al. Standards Track [Page 6] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[6ページ]: トランスポート層セキュリティ2000年5月のための拡大
5. Effects of TLS on a Client's Authorization Identity
5. クライアントの承認のアイデンティティへのTLSの効果
This section describes the effects on a client's authorization identity brought about by establishing TLS on an LDAP association. The default effects are described first, and next the facilities for client assertion of authorization identity are discussed including error conditions. Lastly, the effects of closing the TLS connection are described.
このセクションはLDAP協会にTLSを設立することによって引き起こされたクライアントの承認のアイデンティティに効果を説明します。 デフォルト効果は最初に説明されます、そして、次に、エラー条件を含んでいて、承認のアイデンティティのクライアント主張のための施設について議論します。 最後に、TLS接続を終えるという効果は説明されます。
Authorization identities and related concepts are defined in [AuthMeth].
承認のアイデンティティと関連する概念は[AuthMeth]で定義されます。
5.1. TLS Connection Establishment Effects
5.1. TLSコネクション確立効果
5.1.1. Default Effects
5.1.1. デフォルト効果
Upon establishment of the TLS connection onto the LDAP association, any previously established authentication and authorization identities MUST remain in force, including anonymous state. This holds even in the case where the server requests client authentication via TLS -- e.g. requests the client to supply its certificate during TLS negotiation (see [TLS]).
LDAP協会へのTLS接続の設立では、どんな以前に確立した認証と承認のアイデンティティも有効なままで残らなければなりません、匿名の状態を含んでいて。 これはサーバがTLSを通してクライアント認証を要求するケースさえ抑制します--例えば、TLS交渉の間、証明書を提供するようクライアントに要求します([TLS]を見てください)。
5.1.2. Client Assertion of Authorization Identity
5.1.2. 承認のアイデンティティのクライアント主張
A client MAY either implicitly request that its LDAP authorization identity be derived from its authenticated TLS credentials or it MAY explicitly provide an authorization identity and assert that it be used in combination with its authenticated TLS credentials. The former is known as an implicit assertion, and the latter as an explicit assertion.
クライアントが、LDAP承認のアイデンティティが認証されたTLS資格証明書から得られるようそれとなく要求するかもしれないか、それは、明らかに承認のアイデンティティを前提として、認証されたTLS資格証明書と組み合わせて使用されると断言するかもしれません。 前者は暗黙の主張、および明白な主張としての後者として知られています。
5.1.2.1. Implicit Assertion
5.1.2.1. 暗黙の主張
An implicit authorization identity assertion is accomplished after TLS establishment by invoking a Bind request of the SASL form using the "EXTERNAL" mechanism name [SASL, LDAPv3] that SHALL NOT include the optional credentials octet string (found within the SaslCredentials sequence in the Bind Request). The server will derive the client's authorization identity from the authentication identity supplied in the client's TLS credentials (typically a public key certificate) according to local policy. The underlying mechanics of how this is accomplished are implementation specific.
SASLのBind要求を呼び出すのによるTLS設立が任意の資格証明書八重奏ストリング(ひもの要求におけるSaslCredentials系列の中で見つけられる)を含んでいないものとする「外部」のメカニズム名[SASL、LDAPv3]を使用することで形成された後に暗黙の承認アイデンティティ主張は優れています。 サーバがクライアントの承認のアイデンティティにローカルの方針に応じてクライアントのTLS資格証明書(通常公開鍵証明書)で供給された認証のアイデンティティに由来しているでしょう。 これがどう優れるかに関する基本的な整備士は実装特有です。
Hodges, et al. Standards Track [Page 7] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[7ページ]: トランスポート層セキュリティ2000年5月のための拡大
5.1.2.2. Explicit Assertion
5.1.2.2. 明白な主張
An explicit authorization identity assertion is accomplished after TLS establishment by invoking a Bind request of the SASL form using the "EXTERNAL" mechanism name [SASL, LDAPv3] that SHALL include the credentials octet string. This string MUST be constructed as documented in section 9 of [AuthMeth].
SASLのBind要求を呼び出すのによるTLS設立が資格証明書八重奏ストリングを含んでいるものとする「外部」のメカニズム名[SASL、LDAPv3]を使用することで形成された後に明白な承認アイデンティティ主張は優れています。 [AuthMeth]のセクション9で記録されるようにこのストリングを構成しなければなりません。
5.1.2.3. Error Conditions
5.1.2.3. エラー条件
For either form of assertion, the server MUST verify that the client's authentication identity as supplied in its TLS credentials is permitted to be mapped to the asserted authorization identity. The server MUST reject the Bind operation with an invalidCredentials resultCode in the Bind response if the client is not so authorized.
どちらかの形式の主張のために、サーバは、TLS資格証明書で供給されるクライアントの認証のアイデンティティによって断言された承認のアイデンティティに写像されることが許可されていることを確かめなければなりません。 クライアントがそのように権限を与えられないなら、サーバはBind応答でinvalidCredentials resultCodeとのBind操作を拒絶しなければなりません。
Additionally, with either form of assertion, if a TLS session has not been established between the client and server prior to making the SASL EXTERNAL Bind request and there is no other external source of authentication credentials (e.g. IP-level security [IPSEC]), or if, during the process of establishing the TLS session, the server did not request the client's authentication credentials, the SASL EXTERNAL bind MUST fail with a result code of inappropriateAuthentication.
さらに、どちらかの形式の主張で、SASL EXTERNAL Bind要求をする前にTLSセッションがクライアントとサーバの間で確立されていなくて、またサーバがTLSセッションを確立するプロセスの間、クライアントの認証資格証明書を要求しなかったなら認証資格証明書(例えば、IP-レベルセキュリティ[IPSEC])の他の外部電源が全くいなければ、inappropriateAuthenticationの結果コードに応じて、SASL EXTERNALひもは失敗しなければなりません。
After the above Bind operation failures, any client authentication and authorization state of the LDAP association is lost, so the LDAP association is in an anonymous state after the failure. TLS connection state is unaffected, though a server MAY end the TLS connection, via a TLS close_notify message, based on the Bind failure (as it MAY at any time).
したがって、失敗の後にLDAP協会は匿名の状態のLDAP協会のどんな上のBind操作の故障、クライアント認証、および承認状態も無くならせる後です。 接続がサーバがTLS接続を終わらせるかもしれませんが、TLSの近い_を通して影響を受けないと述べるTLSはメッセージに通知します、Bindの故障に基づいて(いつでもそうするかもしれないように)。
5.2. TLS Connection Closure Effects
5.2. TLS接続閉鎖効果
Closure of the TLS connection MUST cause the LDAP association to move to an anonymous authentication and authorization state regardless of the state established over TLS and regardless of the authentication and authorization state prior to TLS connection establishment.
TLS接続の閉鎖はTLSコネクション確立の前にTLSの上で設置された状態にかかわらず認証と承認状態にかかわらず匿名の認証と承認状態に移行するLDAP協会を引き起こさなければなりません。
6. Security Considerations
6. セキュリティ問題
The goals of using the TLS protocol with LDAP are to ensure connection confidentiality and integrity, and to optionally provide for authentication. TLS expressly provides these capabilities, as described in [TLS].
LDAPとのTLSプロトコルを使用するという目標は、接続秘密性と保全を確実にして、任意に認証に備えることです。 TLSは[TLS]で説明されるように明白にこれらの能力を提供します。
Hodges, et al. Standards Track [Page 8] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[8ページ]: トランスポート層セキュリティ2000年5月のための拡大
All security gained via use of the Start TLS operation is gained by the use of TLS itself. The Start TLS operation, on its own, does not provide any additional security.
TLS自身の使用でStart TLS操作の使用で獲得されたすべてのセキュリティを獲得します。 それ自身のところでは、Start TLS操作が少しの追加担保も提供しません。
The use of TLS does not provide or ensure for confidentiality and/or non-repudiation of the data housed by an LDAP-based directory server. Nor does it secure the data from inspection by the server administrators. Once established, TLS only provides for and ensures confidentiality and integrity of the operations and data in transit over the LDAP association, and only if the implementations on the client and server support and negotiate it.
データの秘密性、そして/または、非拒否はLDAPベースのディレクトリサーバで収容しました。TLSの使用が提供もしませんし、確実にもしない、または、それはサーバアドミニストレータによる点検からデータを保証しません。 いったん設立されると、クライアントとサーバの実装がそれをLDAP協会の上の通過とサポートして、交渉するだけであるかどうかで、TLSは操作とデータの秘密性と保全に備えて、確実にするだけです。
The level of security provided though the use of TLS depends directly on both the quality of the TLS implementation used and the style of usage of that implementation. Additionally, an active-intermediary attacker can remove the Start TLS extended operation from the supportedExtension attribute of the root DSE. Therefore, both parties SHOULD independently ascertain and consent to the security level achieved once TLS is established and before beginning use of the TLS connection. For example, the security level of the TLS connection might have been negotiated down to plaintext.
TLSの使用は直接TLS実装の品質が使用した両方とその実装の用法のスタイルによりましたが、セキュリティのレベルは提供されました。 さらに、活発な仲介者攻撃者は根のDSEのsupportedExtension属性からStart TLS拡大手術を取り除くことができます。 したがって、セキュリティー・レベルへのSHOULDが独自に確かめる双方と同意はTLSが一度設立されて始めの前にTLS接続の使用を実現しました。 例えば、TLS接続のセキュリティー・レベルは平文まで交渉されたかもしれません。
Clients SHOULD either warn the user when the security level achieved does not provide confidentiality and/or integrity protection, or be configurable to refuse to proceed without an acceptable level of security.
クライアントSHOULDは、レベルが実現したセキュリティがいつ秘密性、そして/または、保全保護を提供しないかをユーザに警告するか、または合格水準のセキュリティなしで続くのを拒否するのにおいて構成可能であってください。
Client and server implementors SHOULD take measures to ensure proper protection of credentials and other confidential data where such measures are not otherwise provided by the TLS implementation.
クライアントとサーバ作成者SHOULDは資格証明書の適切な保護を確実にする手段とそのような測定が別の方法でTLS実装によって提供されない他の秘密のデータを取ります。
Server implementors SHOULD allow for server administrators to elect whether and when connection confidentiality and/or integrity is required, as well as elect whether and when client authentication via TLS is required.
SHOULDが選出するサーバアドミニストレータのために許容するサーバ作成者、接続秘密性、そして/または、保全がいつ次期であって必要であって、次期であるか、必要であって、TLSを通したクライアント認証がいつ必要であるか。
7. Acknowledgements
7. 承認
The authors thank Tim Howes, Paul Hoffman, John Kristian, Shirish Rai, Jonathan Trostle, Harald Alvestrand, and Marcus Leech for their contributions to this document.
作者はこのドキュメントへの彼らの貢献についてティム・ハウズ、ポール・ホフマン、ジョン・クリスチャン、Shirishライ、ジョナサンTrostle、ハラルドAlvestrand、およびマーカスLeechに感謝します。
Hodges, et al. Standards Track [Page 9] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[9ページ]: トランスポート層セキュリティ2000年5月のための拡大
8. References
8. 参照
[AuthMeth] Wahl, M., Alvestrand, H., Hodges, J. and R. Morgan,
"Authentication Methods for LDAP", RFC 2829, May 2000.
[AuthMeth] ウォール、M.、Alvestrand、H.、ホッジズ、J.、およびR.モーガン(「LDAPのための認証方法」、RFC2829)は2000がそうするかもしれません。
[IPSEC] Kent, S. and R. Atkinson, "Security Architecture for
the Internet Protocol", RFC 2401, November 1998.
[IPSEC] ケントとS.とR.アトキンソン、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
[LDAPv3] Wahl, M., Kille S. and T. Howes, "Lightweight
Directory Access Protocol (v3)", RFC 2251, December
1997.
[LDAPv3]ウォールとM.とKille S.とT.ハウズ、「ライトウェイト・ディレクトリ・アクセス・プロトコル(v3)」、RFC2251 1997年12月。
[ReqsKeywords] Bradner, S., "Key Words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
[ReqsKeywords]ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のための主要なワーズ」、BCP14、RFC2119、1997年3月。
[SASL] Myers, J., "Simple Authentication and Security Layer
(SASL)", RFC 2222, October 1997.
[SASL] マイアーズ、J.、「簡易認証とセキュリティは(SASL)を層にする」RFC2222、1997年10月。
[TLS] Dierks, T. and C. Allen. "The TLS Protocol Version
1.0", RFC 2246, January 1999.
[TLS] Dierks、T.、およびC.アレン。 「TLSは1999年1月にバージョン1インチ、RFC2246について議定書の中で述べます。」
9. Authors' Addresses
9. 作者のアドレス
Jeff Hodges Oblix, Inc. 18922 Forge Drive Cupertino, CA 95014 USA
ジェフホッジズOblix Inc.18922鍛造Driveカリフォルニア95014カルパチーノ(米国)
Phone: +1-408-861-6656 EMail: JHodges@oblix.com
以下に電話をしてください。 +1-408-861-6656 メールしてください: JHodges@oblix.com
RL "Bob" Morgan Computing and Communications University of Washington Seattle, WA USA
RL「ボブ」モーガンComputingとコミュニケーションワシントン大学ワシントンシアトル(米国)
Phone: +1-206-221-3307 EMail: rlmorgan@washington.edu
以下に電話をしてください。 +1-206-221-3307 メールしてください: rlmorgan@washington.edu
Mark Wahl Sun Microsystems, Inc. 8911 Capital of Texas Hwy #4140 Austin TX 78759 USA
テキサスHwy#4140オースチンテキサス78759米国のマークウォールサン・マイクロシステムズ・インク8911首都
EMail: M.Wahl@innosoft.com
メール: M.Wahl@innosoft.com
Hodges, et al. Standards Track [Page 10] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[10ページ]: トランスポート層セキュリティ2000年5月のための拡大
10. Intellectual Property Rights Notices
10. 知的所有権通知
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.
IETFはどんな知的所有権の正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 どちらも、それはそれを表しません。どんなそのような権利も特定するためにいずれも取り組みにしました。 BCP-11で標準化過程の権利と規格関連のドキュメンテーションに関するIETFの手順に関する情報を見つけることができます。 権利のクレームのコピーで利用可能に作られるべきライセンスの保証、または一般的なライセンスか許可が作成者によるそのような所有権の使用に得させられた試みの結果が公表といずれにも利用可能になったか、またはIETF事務局からこの仕様のユーザを得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFはこの規格を練習するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 IETF専務に情報を扱ってください。
Hodges, et al. Standards Track [Page 11] RFC 2830 LDAPv3: Extension for Transport Layer Security May 2000
ホッジズ、他 規格はRFC2830LDAPv3を追跡します[11ページ]: トランスポート層セキュリティ2000年5月のための拡大
11. Full Copyright Statement
11. 完全な著作権宣言文
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Hodges, et al. Standards Track [Page 12]
ホッジズ、他 標準化過程[12ページ]
一覧
スポンサーリンク
