Инфраструктура Открытого Ключа (часть 6)

LDAP поиск в репозитории

Для поиска в репозитории записи, содержащей сертификат, CRL или другую интересующую информацию, с использованием произвольного критерия, необходимо подмножество следующих трех операций LDAP:

BindRequest (и BindResponse), 
SearchRequest (и SearchResponse)
UnbindRequest

Далее приведено требуемое подмножество для каждой операции.

Search Request

Приложение, предоставляющее сервис поиска в репозитории LDAP, должно реализовать следующее подмножество протокола SearchRequest.

SearchRequest ::= [APPLICATION 3] SEQUENCE {
  baseObject   LDAPDN,
  scope ENUMERATED {
    baseObject   (0),
    singleLevel  (1),
    wholeSubtree (2)
  },
  
  derefAliases   ENUMERATED {
    neverDerefAliases (0),
  },
  
  sizeLimit INTEGER (0 .. maxInt),
  timeLimit INTEGER (0 .. maxInt),
  attrsOnly BOOLEAN,  -- FALSE only
  filter Filter,
  attributes SEQUENCE OF
  AttributeType 
}

Должны поддерживаться все аспекты SearchRequest, за исключением следующего:

• Необходимо поддерживать только значение neverDeferAliases для deferAliases.
• Необходимо поддерживать только значение FALSE для attrsOnly.

Данное подмножество предоставляет более общие возможности поиска. Это надмножество подмножества SearchRequest, определенного выше. Элементами, добавляемыми в данный сервис, являются:

• Должна поддерживаться область singleLevel и wholeSubtree.
• Включен sizeLimit.
• Включен timeLimit.
• Существует возможность фильтрации.

Приложение, предоставляющее сервис поиска в репозитории LDAP, может также реализовывать и другие аспекты SearchRequest.

LDAP модификация репозитория

Для добавления, удаления и модификации PKI информации в репозитории требуется подмножество следующих операций LDAP:

BindRequest (и BindResponse), 
ModifyRequest (и ModifyResponse), 
AddRequest (и AddResponse)
DelRequest (и DelResponse),
UnbindRequest

Далее определяется требуемое подмножество для каждой операции.

Bind

Приложение, предоставляющее сервис модификации репозитория LDAP, должно реализовывать следующее подмножество операций:

BindRequest ::= [APPLICATION 0] SEQUENCE {
  version INTEGER (2),
  name    LDAPDN,
  simpleauth [0] OCTET STRING }

Сервис модификации репозитория LDAP должен реализовывать аутентифицированный доступ.

Необходимые подмножества BindResponse являются теми же, что были описаны выше.

ModifyRequest

Приложение, предоставляющее сервис модификации в репозитории LDAP, должно реализовывать следующее подмножество протокола ModifyRequest.

ModifyRequest ::= [APPLICATION 6] SEQUENCE {
  object LDAPDN,
  modification SEQUENCE OF SEQUENCE {
    operation ENUMERATED   {
      add (0),
      delete (1)
    },
    modification SEQUENCE {
      type AttributeType,
      values SET OF
      AttributeValue
    }
  }
}

Необходимо поддерживать только значения add и delete для ModifyRequest.