Инфраструктура Открытого Ключа (часть 6)

LDAP чтение репозитория

Для получения информации из записи, соответствующей имени субъекта или выпускающего сертификата, требуется подмножество из следующих трех операций LDAP:

BindRequest (и BindResponse)
SearchRequest (и SearchResponse)
UnbindRequest

Bind Request

Приложение, предоставляющее LDAP сервис чтения репозитория, должно реализовать следующее подмножество данной операции:

BindRequest ::= [APPLICATION 0] SEQUENCE {
    version  INTEGER (2),
    name     LDAPDN, 
     -- должен приниматься NULL LDAPDN
    simpleauth [0] OCTET STRING 
     -- должен приниматься NULL simple }

Приложение, предоставляющее сервис чтения репозитория, может также реализовать другие возможности BindRequest.

Разные сервисы могут иметь различные требования безопасности. Одни сервисы могут допускать анонимный поиск, другие могут требовать аутентификации. Сервисы, допускающие анонимный поиск, могут разрешать поиск только на основе общего критерия.

Предполагается, что сервис чтения репозитория должен реализовывать некоторый уровень анонимного доступа к поиску. Сервис чтения репозитория может реализовывать аутентифицированный доступ к поиску.

Bind Response

Приложение, предоставляющее сервис чтения репозитория, должно полностью реализовать данный элемент протокола, при этом могут возвращаться только следующие коды ошибок при выполнении операции Bind:

success                   (0),
operationsError           (1),
  protocolError           (2),
  authMethodNotSupported  (7),
  noSuchObject            (32),
  invalidDNSyntax         (34),
  inappropriateAuthentication (48),
  invalidCredentials      (49),
  busy                    (51),
  unavailable             (52),
  unwillingToPerform      (53),
  other                   (80)

Search Request

Приложение, предоставляющее LDAP сервис чтения репозитория, должно реализовывать следующее подмножество SearchRequest:

SearchRequest ::= [APPLICATION 3] SEQUENCE {
  baseObject  LDAPDN,
  scope       ENUMERATED {baseObject (0), },
  derefAliases ENUMERATED {
     neverDerefAliases (0),
  },
  sizeLimit  INTEGER (0),
  timeLimit  INTEGER (0),
  attrsOnly  BOOLEAN, -- FALSE only
  filter     Filter,
  attributes SEQUENCE OF AttributeType
}
Filter ::= CHOICE {
  present [7] AttributeType,
   -- только "objectСlass"
}

Данное подмножество LDAPv2 SearchRequest обеспечивает операцию " read " LDAPv2: поиск объекта с использованием фильтра для проверки существования атрибута objectClass.

Приложение, предоставляющее сервис чтения репозитория, может также реализовать другие возможности SearchRequest.

Search Response

Приложение, предоставляющее LDAP сервис поиска в репозитории, должно полностью реализовать SearchResponse.

Заметим, что в том случае, когда атрибут имеет несколько значений, например, userCertificate, SearchResponse содержит все значения, предполагая, что запрашивающий имеет достаточно прав доступа. У приложения или доверяющей группы может возникнуть необходимость выбрать для использования соответствующее значение. Заметим также, что получение сертификата из именованной записи не гарантирует, что сертификат будет включать то же самое DN, и в некоторых случаях subjectDN в сертификате может быть NULL.