RFC3062 日本語訳
3062 LDAP Password Modify Extended Operation. K. Zeilenga. February 2001. (Format: TXT=11807 bytes) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group K. Zeilenga Request for Comments: 3062 OpenLDAP Foundation Category: Standards Track February 2001
Zeilengaがコメントのために要求するワーキンググループK.をネットワークでつないでください: 3062年のOpenLDAP財団カテゴリ: 標準化過程2001年2月
LDAP Password Modify Extended Operation
LDAPパスワードは拡大手術を変更します。
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2001). All Rights Reserved.
Copyright(C)インターネット協会(2001)。 All rights reserved。
Abstract
要約
The integration of the Lightweight Directory Access Protocol (LDAP) and external authentication services has introduced non-DN authentication identities and allowed for non-directory storage of passwords. As such, mechanisms which update the directory (e.g., Modify) cannot be used to change a user's password. This document describes an LDAP extended operation to allow modification of user passwords which is not dependent upon the form of the authentication identity nor the password storage mechanism used.
ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)の、そして、外部認証サービスの統合は、非DN認証のアイデンティティを導入して、パスワードの非ディレクトリストレージを考慮しました。 そういうものとして、ユーザのパスワードを変えるのにディレクトリ(例えば、Modify)をアップデートするメカニズムは使用できません。 このドキュメントは、認証のアイデンティティのフォームの扶養家族かストレージメカニズムが使用したパスワードでないユーザパスワードの変更を許すためにLDAP拡大手術について説明します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", and "MAY" in this document are to be interpreted as described in RFC 2119.
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「」、「推薦された」、およびこのドキュメントの「5月」はRFC2119で説明されるように解釈されることになっているべきであるものとします。
1. Background and Intent of Use
1. 使用のバックグラウンドと意図
Lightweight Directory Access Protocol (LDAP) [RFC2251] is designed to support an number of authentication mechanisms including simple user name/password pairs. Traditionally, LDAP users where identified by the Distinguished Name [RFC2253] of a directory entry and this entry contained a userPassword [RFC2256] attribute containing one or more passwords.
ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)[RFC2251]は、簡単なユーザ名前/パスワード組を含む認証機構の数をサポートするように設計されています。 ディレクトリエントリとこのエントリーのDistinguished Name[RFC2253]によって特定されるところに伝統的に、LDAPユーザは1つ以上のパスワードを含むuserPassword[RFC2256]属性を含みました。
The protocol does not mandate that passwords associated with a user be stored in the directory server. The server may use any attribute suitable for password storage (e.g., userPassword), or use non- directory storage.
プロトコルは、ユーザに関連しているパスワードがディレクトリサーバで保存されるのを強制しません。サーバは、パスワードストレージ(例えば、userPassword)に適したどんな属性も使用するか、または非ディレクトリのストレージを使用するかもしれません。
Zeilenga Standards Track [Page 1] RFC 3062 LDAP Password Modify Extended Operation February 2001
RFC3062LDAPパスワードが拡大手術2001年2月に変更するZeilenga標準化過程[1ページ]
The integration [RFC2829] of application neutral SASL [RFC2222] services which support simple username/password mechanisms (such as DIGEST-MD5) has introduced non-LDAP DN authentication identity forms and made storage of passwords the responsibility of the SASL service provider.
簡単なユーザ名/パスワードメカニズム(DIGEST-MD5などの)をサポートするアプリケーション中立SASL[RFC2222]サービスの統合[RFC2829]は、非LDAP DN認証アイデンティティフォームを導入して、パスワードのストレージをSASLサービスプロバイダーの責任にしました。
LDAP update operations are designed to act upon attributes of an entry within the directory. LDAP update operations cannot be used to modify a user's password when the user is not represented by a DN, does not have a entry, or when that password used by the server is not stored as an attribute of an entry. An alternative mechanism is needed.
LDAPアップデート操作は、ディレクトリの中でエントリーの属性に作用するように設計されています。 ユーザがDNによって表されないで、またエントリーを持っていないか、またはサーバによって使用されるそのパスワードがエントリーの属性として保存されないとき、ユーザのパスワードを変更するのにLDAPアップデート操作を使用できません。 代替のメカニズムが必要です。
This document describes an LDAP Extended Operation intended to allow directory clients to update user passwords. The user may or may not be associated with a directory entry. The user may or may not be represented as an LDAP DN. The user's password may or may not be stored in the directory.
このドキュメントはディレクトリクライアントがユーザパスワードをアップデートするのを許容することを意図するLDAP Extended Operationについて説明します。 ユーザはディレクトリエントリに関連しているかもしれません。 ユーザはLDAP DNとして代理をされるかもしれません。 ユーザのパスワードはディレクトリに保存されるかもしれません。
The operation SHOULD NOT be used without adequate security protection as the operation affords no privacy or integrity protect itself. This operation SHALL NOT be used anonymously.
操作SHOULD NOT、操作がプライバシーを全く提供しないか、または保全が我が身をかばうので、十分な安全性保護なしで使用されてください。 この操作SHALL NOT、匿名で使用されてください。
2. Password Modify Request and Response
2. パスワードは要求と応答を変更します。
The Password Modify operation is an LDAPv3 Extended Operation [RFC2251, Section 4.12] and is identified by the OBJECT IDENTIFIER passwdModifyOID. This section details the syntax of the protocol request and response.
Password Modify操作は、LDAPv3 Extended Operation[RFC2251、セクション4.12]であり、OBJECT IDENTIFIER passwdModifyOIDによって特定されます。 このセクションはプロトコル要求と応答の構文を詳しく述べます。
passwdModifyOID OBJECT IDENTIFIER ::= 1.3.6.1.4.1.4203.1.11.1
passwdModifyOIDオブジェクト識別子:、:= 1.3.6.1.4.1.4203.1.11.1
PasswdModifyRequestValue ::= SEQUENCE {
userIdentity [0] OCTET STRING OPTIONAL
oldPasswd [1] OCTET STRING OPTIONAL
newPasswd [2] OCTET STRING OPTIONAL }
PasswdModifyRequestValue:、:= 系列userIdentity[0]八重奏のストリングの任意のoldPasswd[1]八重奏は任意の状態で任意のnewPasswd[2]八重奏ストリングを結びます。
PasswdModifyResponseValue ::= SEQUENCE {
genPasswd [0] OCTET STRING OPTIONAL }
PasswdModifyResponseValue:、:= 系列任意の状態で[0] 八重奏ストリングをgenPasswdします。
2.1. Password Modify Request
2.1. パスワードは要求を変更します。
A Password Modify request is an ExtendedRequest with the requestName field containing passwdModifyOID OID and optionally provides a requestValue field. If the requestValue field is provided, it SHALL contain a PasswdModifyRequestValue with one or more fields present.
Password Modify要求は、requestName分野がpasswdModifyOID OIDを含んでいるExtendedRequestであり、任意にrequestValue野原を供給します。 requestValueであるなら野原を供給して、それはSHALLです。1つ以上の分野が存在しているPasswdModifyRequestValueを含んでください。
Zeilenga Standards Track [Page 2] RFC 3062 LDAP Password Modify Extended Operation February 2001
RFC3062LDAPパスワードが拡大手術2001年2月に変更するZeilenga標準化過程[2ページ]
The userIdentity field, if present, SHALL contain an octet string representation of the user associated with the request. This string may or may not be an LDAPDN [RFC2253]. If no userIdentity field is present, the request acts up upon the password of the user currently associated with the LDAP session.
userIdentity分野であり、存在しているなら、SHALLは要求に関連しているユーザの八重奏ストリング表現を含んでいます。 このストリングはLDAPDNであるかもしれません[RFC2253]。 どんなuserIdentity分野も存在していないなら、要求は現在LDAPセッションに関連しているユーザのパスワードで調子が狂います。
The oldPasswd field, if present, SHALL contain the user's current password.
oldPasswd分野であり、存在しているなら、SHALLはユーザの現在のパスワードを含んでいます。
The newPasswd field, if present, SHALL contain the desired password for this user.
newPasswd分野であり、存在しているなら、SHALLはこのユーザにとって、必要なパスワードを含んでいます。
2.2. Password Modify Response
2.2. パスワードは応答を変更します。
A Password Modify response is an ExtendedResponse where the responseName field is absent and the response field is optional. The response field, if present, SHALL contain a PasswdModifyResponseValue with genPasswd field present.
Password Modify応答はresponseName分野が欠けていて、応答分野が任意であるExtendedResponseです。 応答分野であり、存在しているなら、SHALLはgenPasswd分野が存在しているPasswdModifyResponseValueを含んでいます。
The genPasswd field, if present, SHALL contain a generated password for the user.
genPasswd分野であり、存在しているなら、SHALLはユーザへの発生しているパスワードを含んでいます。
If an resultCode other than success (0) is indicated in the response, the response field MUST be absent.
成功(0)以外のresultCodeが応答で示されるなら、応答分野は欠けているに違いありません。
3. Operation Requirements
3. 操作要件
Clients SHOULD NOT submit a Password Modification request without ensuring adequate security safeguards are in place. Servers SHOULD return a non-success resultCode if sufficient security protection are not in place.
十分な安全性安全装置が適所にあるのを確実にしない、クライアントSHOULD NOTはPassword Modification要求を提出します。 SHOULDが十分な機密保持であるなら非成功resultCodeを返すサーバが適所にありません。
Servers SHOULD indicate their support for this extended operation by providing PasswdModifyOID as a value of the supportedExtension attribute type in their root DSE. A server MAY choose to advertise this extension only when the client is authorized and/or has established the necessary security protections to use this operation. Clients SHOULD verify the server implements this extended operation prior to attempting the operation by asserting the supportedExtension attribute contains a value of PasswdModifyOID.
サーバSHOULDは、それらの根のDSEのsupportedExtension属性タイプの値としてPasswdModifyOIDを提供することによって、彼らのこの拡大手術のサポートを示します。 サーバは、クライアントが認可されているときだけ、この拡大の広告を出すのを選ぶかもしれない、そして/または、この操作を使用するために必要な機密保持を確立しました。 クライアントSHOULDはこれがsupportedExtension属性がPasswdModifyOIDの値を含むと断言することによって操作を試みながら操作を広げたサーバ道具について確かめます。
The server SHALL only return success upon successfully changing the user's password. The server SHALL leave the password unmodified and return a non-success resultCode otherwise.
首尾よくユーザのパスワードを変えるとき、サーバSHALLは成功を返すだけです。 パスワードを変更されていないままにします。そうでなければ、サーバSHALLは非成功resultCodeを返します。
If the server does not recognize provided fields or does not support the combination of fields provided, it SHALL NOT change the user password.
サーバが提供された分野を認識しないか、またはどんなサポートもしないなら、分野の組み合わせは提供されました、それ。SHALL NOTはユーザパスワードを変えます。
Zeilenga Standards Track [Page 3] RFC 3062 LDAP Password Modify Extended Operation February 2001
RFC3062LDAPパスワードが拡大手術2001年2月に変更するZeilenga標準化過程[3ページ]
If oldPasswd is present and the provided value cannot be verified or is incorrect, the server SHALL NOT change the user password. If oldPasswd is not present, the server MAY use other policy to determine whether or not to change the password.
oldPasswdが存在していて、提供された値が確かめることができませんし、不正確でもあるなら、サーバSHALL NOTはユーザパスワードを変えます。 oldPasswdが存在していないなら、サーバは、パスワードを変えるかどうか決定するのに他の方針を使用するかもしれません。
The server SHALL NOT generate a password on behalf of the client if the client has provided a newPasswd. In absence of a client provided newPasswd, the server SHALL either generate a password on behalf of the client or return a non-success result code. The server MUST provide the generated password upon success as the value of the genPasswd field.
クライアントがnewPasswdを提供したなら、サーバSHALL NOTはクライアントを代表してパスワードを生成します。 クライアントの提供されたnewPasswdの不在では、サーバSHALLはクライアントを代表してパスワードを生成するか、または非成功結果コードを返します。 サーバはgenPasswd分野の値として成功に関する発生しているパスワードを提供しなければなりません。
The server MAY return adminLimitExceeded, busy, confidentialityRequired, operationsError, unavailable, unwillingToPerform, or other non-success resultCode as appropriate to indicate that it was unable to successfully complete the operation.
サーバはadminLimitExceededを返すかもしれません、忙しいです、confidentialityRequired、operationsError、首尾よく操作を完了できなかったのを示すのが適切である入手できないか、unwillingToPerformの、または、他の非成功resultCode。
Servers MAY implement administrative policies which restrict this operation.
サーバはこの操作を制限する施政方針を実装するかもしれません。
4. Security Considerations
4. セキュリティ問題
This operation is used to modify user passwords. The operation itself does not provide any security protection to ensure integrity and/or confidentiality of the information. Use of this operation is strongly discouraged when privacy protections are not in place to guarantee confidentiality and may result in the disclosure of the password to unauthorized parties. This extension MUST be used with confidentiality protection, such as Start TLS [RFC 2830]. The NULL cipher suite MUST NOT be used.
この操作は、ユーザパスワードを変更するのに使用されます。 操作自体は、情報の保全、そして/または、秘密性を確実にするために少しの機密保持も提供しません。 この操作の使用は、秘密性を保証するためにプライバシー保護が適所にないとき、強くがっかりしていて、権限のないパーティーへのパスワードの公開をもたらすかもしれません。 Start TLSなどの秘密性保護[RFC2830]と共にこの拡張子を使用しなければなりません。 NULL暗号スイートを使用してはいけません。
5. Bibliography
5. 図書目録
[RFC2219] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2219] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[RFC2222] Myers, J., "Simple Authentication and Security Layer
(SASL)", RFC 2222, October 1997.
[RFC2222] マイアーズ、J.、「簡易認証とセキュリティは(SASL)を層にする」RFC2222、1997年10月。
[RFC2251] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory
Access Protocol (v3)", RFC 2251, December 1997.
[RFC2251]ウォールとM.とハウズとT.とS.Kille、「ライトウェイト・ディレクトリ・アクセス・プロトコル(v3)」、RFC2251 1997年12月。
[RFC2252] Wahl, M., Coulbeck, A., Howes, T. and S. Kille,
"Lightweight Directory Access Protocol (v3): Attribute
Syntax Definitions", RFC 2252, December 1997.
[RFC2252] ウォール、M.、Coulbeck、A.、ハウズ、T.、およびS.Kille、「軽量のディレクトリアクセスは(v3)について議定書の中で述べます」。 「属性構文定義」、RFC2252、1997年12月。
Zeilenga Standards Track [Page 4] RFC 3062 LDAP Password Modify Extended Operation February 2001
RFC3062LDAPパスワードが拡大手術2001年2月に変更するZeilenga標準化過程[4ページ]
[RFC2253] Wahl, M., Kille,S. and T. Howes, "Lightweight Directory
Access Protocol (v3): UTF-8 String Representation of
Distinguished Names", RFC 2253, December 1997.
[RFC2253] ウォール、M.、Kille、S.、およびT.ハウズ、「軽量のディレクトリアクセスは(v3)について議定書の中で述べます」。 「分類名のUTF-8ストリング表現」、RFC2253、1997年12月。
[RFC2256] Wahl, M., "A Summary of the X.500(96) User Schema for use
with LDAPv3", RFC 2256, December 1997.
[RFC2256] ウォール、M.、「LDAPv3"、RFC2256、1997年12月との使用のためのX.500(96)ユーザSchemaのSummary。」
[RFC2829] Wahl, M., Alvestrand, H., Hodges, J. and R. Morgan,
"Authentication Methods for LDAP", RFC 2829, May 2000.
[RFC2829] ウォール、M.、Alvestrand、H.、ホッジズ、J.、およびR.モーガン(「LDAPのための認証方法」、RFC2829)は2000がそうするかもしれません。
[RFC2830] Hodges, J., Morgan, R. and M. Wahl, "Lightweight Directory
Access Protocol (v3): Extension for Transport Layer
Security", RFC 2830, May 2000.
[RFC2830] ホッジズ、J.、モーガン、R.、およびM.ウォール、「軽量のディレクトリアクセスは(v3)について議定書の中で述べます」。 「トランスポート層セキュリティのための拡大」(RFC2830)は2000がそうするかもしれません。
6. Acknowledgment
6. 承認
This document borrows from a number of IETF documents and is based upon input from the IETF LDAPext working group.
このドキュメントは、多くのIETFドキュメントから借りて、IETF LDAPextワーキンググループから入力に基づいています。
7. Author's Address
7. 作者のアドレス
Kurt D. Zeilenga OpenLDAP Foundation
カートD.Zeilenga OpenLDAP財団
EMail: Kurt@OpenLDAP.org
メール: Kurt@OpenLDAP.org
Zeilenga Standards Track [Page 5] RFC 3062 LDAP Password Modify Extended Operation February 2001
RFC3062LDAPパスワードが拡大手術2001年2月に変更するZeilenga標準化過程[5ページ]
8. Full Copyright Statement
8. 完全な著作権宣言文
Copyright (C) The Internet Society (2001). All Rights Reserved.
Copyright(C)インターネット協会(2001)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Zeilenga Standards Track [Page 6]
Zeilenga標準化過程[6ページ]
一覧
スポンサーリンク
