Инфраструктура Открытого Ключа (часть 2)

Запись LDAP

Основные свойства записи:

• Записи составлены из атрибутов.
• Атрибут состоит из типа и одного или более значений.
• Значение является содержательной информацией в текстовом формате.
• Атрибуты имеют синтаксис, который определяется типом данной записи.

Запись состоит из множества атрибутов, хранящих информацию об объекте. Некоторые атрибуты хранят пользовательскую информацию и называются пользовательскими атрибутами. Другие атрибуты хранят функциональную и/или административную информацию и называются функциональными атрибутами.

Атрибут состоит из описания атрибута (тип атрибута и ноль или более опций) и одного или более связанных с ним значений. На атрибут часто ссылаются с помощью его описания. Например, атрибут givenName является атрибутом, состоящим из описания атрибута givenName (тип атрибута givenName и ноль опций) и одного или более связанных с ним значений.

Тип атрибута определяет, может ли атрибут иметь несколько значений, синтаксис и правила соответствия, используемые при создании и сравнении значений данного атрибута, и другие функции. Никакие два значения атрибута в одной записи не могут быть эквивалентны.

Два значения считаются эквивалентными, если эквивалентность выполняется в соответствии с правилами эквивалентности данного типа атрибута. Если тип атрибута определяется без правила эквивалентности, два значения являются эквивалентными тогда и только тогда, когда они идентичны.

Например, атрибут givenName может иметь более одного значения, эти значения должны быть Directory Strings и они нечувствительны к регистру. Поэтому атрибут givenName не может иметь одновременно значения John и JOHN, так как согласно правилу эквивалентности данного типа атрибута это эквивалентные значения.

Атрибуты

Атрибут состоит из описания атрибута и одного или более значений данного атрибута.

Attribute ::= 	SEQUENCE { 
  type AttributeDescription, 
  vals SET OF AttributeValue 
}

Каждое значение атрибута должно быть уникальным, т.е. дублирование не допускается. Присваивание атрибутам значений не приводит к упорядоченности этих значений.

Описания атрибута

Описание атрибута состоит из типа атрибута и множества из нуля или более опций атрибута.

attributedescription =
    attributetype options
attributetype = oid
options = *( SEMI option )
option = 1*keychar

где <attributetype> определяет тип атрибута, и каждая <option> определяет опцию атрибута. И <attributetype>, и <option> нечувствительны к регистру. Порядок, в котором появляются <option>s, несущественен. Это означает, что любые два <attributedescription>s, которые состоят из одного и того же <attributetype> и одного и того же множества <option>s, являются эквивалентными.

Примеры допустимых описаний атрибутов:

2.5.4.0
cn;lang-de;lang-en
owner

Все атрибуты записи должны иметь различные описания атрибутов.

Типы атрибутов

Тип атрибута определяет, может ли атрибут иметь несколько значений, как используются правила синтаксиса и соответствия при создании и сравнении значений данного атрибута, а также некоторые другие параметры.

Тип атрибута указывает, является атрибут пользовательским или функциональным. Если атрибут является функциональным, тип атрибута определяет его функциональное использование и указывает, может ли данный атрибут модифицироваться пользователем.

Тип атрибута (подтип) может быть получен из другого типа атрибута (прямого супертипа). Подтип наследует правила соответствия и синтаксис. Тип атрибута не может быть подтипом атрибута для другого применения, т.е. атрибут пользовательского подтипа не может быть атрибутом функционального супертипа.

Каждый тип атрибута определяется идентификатором объекта (OID) и (необязательно) одним или более короткими именами (дескрипторами).

Опции атрибутов

Спецификация LDAP определяет один вид опций атрибутов: тегированные опции. Атрибуты, хранящиеся в Каталоге, могут иметь описания атрибутов с любым числом тегированных опций.

Описание атрибут а с N тегированными опциями считается непосредственным подтипом всех описаний атрибута того же самого типа атрибута. Если тип атрибута имеет супертип, то описание атрибута также считается непосредственным подтипом (описания) атрибута супертипа и N тегированных опций. Это означает, что cn; lang-de; lang-en считается непосредственным подтипом cn; lang-de и cn; lang-en и name; lang-de; lang-en ( cn является подтипом name ).

Значение атрибута

Значения атрибута соответствуют синтаксису, определенному для атрибута.

Когда атрибут используется для именования записи, одно и только одно значение выбранного атрибута присутствует в RDN. Это значение определяется как уникальное.

Поле типа AttributeValue является OCTET STRING, содержащей тип данных значения атрибута. Значение представлено в соответствии с определением представления для LDAP. Определение представления для LDAP для различных синтаксисов и атрибутов определяется при определении Синтаксиса.

AttributeValue ::= OCTET STRING

Заметим, что ограничение на размер данного представления не определено; таким образом, значения могут включать мегабайтные атрибуты (например, фотографии).

Атрибуты могут быть определены как имеющие произвольный и непечатный синтаксис. Реализации не должны показывать или пытаться представить как ASN.1 значение, если его синтаксис неизвестен. Реализация может попытаться восстановить подсхему исходного участника или восстановить из него значения attributeTypes.

Таким образом, атрибуты имеют:

1. Имя – уникальный идентификатор, нечувcтвительный к регистру.
2. Идентификатор объекта (OID) – последовательность целых, разделенных точками.

3. Синтаксис атрибута, который определяет:

   • тип данных, хранящихся в атрибуте: целые, строки и т.п;
   • как выполняется сравнение.
   • Может ли атрибут иметь несколько значений или только единственное значение.

Примеры имен атрибутов:

uid – User id

cn – Common Name

sn – Surname

l – Location

ou – Организационная единица

o – Организация

dc – Domain Component

st – Штат

c – Страна

Атрибуты функционирования

Атрибуты функционирования имеют следующие характеристики:

1. Атрибуты используются сервером и пользователю обычно недоступны.
2. Множество атрибутов функционирования зависит от разработчиков Каталога.
3. Обычно это отметки времени, управление доступом сервера, административная информация, дата последнего изменения и т.д.

Aliases

Записи аliases имеют следующие свойства:

1. Используются для ссылки одной записи на другую.
2. Позволяют иметь структуру, которая не является иерархической.
3. Аналогичны использованию символьных ссылок в файловой системе UNIX.
4. Не все серверы LDAP поддерживают aliases.
5. Создаются с помощью:
   • записи с классом объекта alias'а;
   • атрибут, называемый aliasedObjectName, который указывает на DN alias'а.