[要約] RFC 2254は、LDAP検索フィルタの文字列表現に関する仕様を提供しています。このRFCの目的は、LDAPクライアントとサーバー間での検索フィルタの一貫性を確保し、効率的なデータ検索を可能にすることです。

Network Working Group                                          T. Howes
Request for Comments: 2254                Netscape Communications Corp.
Category: Standards Track                                 December 1997
        

The String Representation of LDAP Search Filters

LDAP検索フィルターの文字列表現

1. Status of this Memo
1. 本文書の状態

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (1997). All Rights Reserved.

Copyright(C)The Internet Society(1997)。全著作権所有。

IESG Note

IESG Note

This document describes a directory access protocol that provides both read and update access. Update access requires secure authentication, but this document does not mandate implementation of any satisfactory authentication mechanisms.

このドキュメントでは、読み取りアクセスと更新アクセスの両方を提供するディレクトリアクセスプロトコルについて説明します。更新アクセスには安全な認証が必要ですが、このドキュメントでは満足できる認証メカニズムの実装を義務付けていません。

In accordance with RFC 2026, section 4.4.1, this specification is being approved by IESG as a Proposed Standard despite this limitation, for the following reasons:

RFC 2026のセクション4.4.1に従って、この仕様は次の理由により、この制限にもかかわらず、提案された標準としてIESGによって承認されています。

a. to encourage implementation and interoperability testing of these protocols (with or without update access) before they are deployed, and

a。展開する前に、これらのプロトコルの実装と相互運用性テスト(更新アクセスありまたはなし)を促進するため。

b. to encourage deployment and use of these protocols in read-only applications. (e.g. applications where LDAPv3 is used as a query language for directories which are updated by some secure mechanism other than LDAP), and

b。読み取り専用アプリケーションでのこれらのプロトコルの導入と使用を促進するため。 (たとえば、LDAPv3がLDAP以外の安全なメカニズムによって更新されるディレクトリのクエリ言語として使用されるアプリケーション)、および

c. to avoid delaying the advancement and deployment of other Internet standards-track protocols which require the ability to query, but not update, LDAPv3 directory servers.

c。 LDAPv3ディレクトリサーバーを更新するのではなく、照会する機能を必要とする他のインターネット標準トラックプロトコルの進歩と展開の遅延を回避するため。

Readers are hereby warned that until mandatory authentication mechanisms are standardized, clients and servers written according to this specification which make use of update functionality are UNLIKELY TO INTEROPERATE, or MAY INTEROPERATE ONLY IF AUTHENTICATION IS REDUCED TO AN UNACCEPTABLY WEAK LEVEL.

読者は、必須の認証メカニズムが標準化されるまで、更新機能を利用するこの仕様に従って作成されたクライアントとサーバーは、相互運用が不可能であるか、認証が許容できない弱いレベルに低下した場合にのみ相互運用が可能であることを警告します。

Implementors are hereby discouraged from deploying LDAPv3 clients or servers which implement the update functionality, until a Proposed Standard for mandatory authentication in LDAPv3 has been approved and published as an RFC.

これにより、実装者は、LDAPv3での必須認証の提案された標準が承認され、RFCとして公開されるまで、更新機能を実装するLDAPv3クライアントまたはサーバーのデプロイを推奨しません。

2. Abstract
2. 概要

The Lightweight Directory Access Protocol (LDAP) [1] defines a network representation of a search filter transmitted to an LDAP server. Some applications may find it useful to have a common way of representing these search filters in a human-readable form. This document defines a human-readable string format for representing LDAP search filters.

ライトウェイトディレクトリアクセスプロトコル(LDAP)[1]は、LDAPサーバーに送信される検索フィルターのネットワーク表現を定義します。一部のアプリケーションでは、人間が読める形式でこれらの検索フィルターを表す一般的な方法があると便利な場合があります。このドキュメントでは、LDAP検索フィルターを表すための人間が読める形式の文字列を定義しています。

This document replaces RFC 1960, extending the string LDAP filter definition to include support for LDAP version 3 extended match filters, and including support for representing the full range of possible LDAP search filters.

このドキュメントはRFC 1960に代わるものであり、文字列LDAPフィルター定義を拡張してLDAPバージョン3拡張一致フィルターのサポートを含み、可能なLDAP検索フィルターの全範囲を表すサポートを含みます。

3. LDAP Search Filter Definition
3. LDAP検索フィルター定義

An LDAPv3 search filter is defined in Section 4.5.1 of [1] as follows:

LDAPv3検索フィルターは、[1]のセクション4.5.1で次のように定義されています。

        Filter ::= CHOICE {
                and                [0] SET OF Filter,
                or                 [1] SET OF Filter,
                not                [2] Filter,
                equalityMatch      [3] AttributeValueAssertion,
                substrings         [4] SubstringFilter,
                greaterOrEqual     [5] AttributeValueAssertion,
                lessOrEqual        [6] AttributeValueAssertion,
                present            [7] AttributeDescription,
                approxMatch        [8] AttributeValueAssertion,
                extensibleMatch    [9] MatchingRuleAssertion
        }
        
        SubstringFilter ::= SEQUENCE {
                type    AttributeDescription,
                SEQUENCE OF CHOICE {
                        initial        [0] LDAPString,
                        any            [1] LDAPString,
                        final          [2] LDAPString
                }
        }
        
        AttributeValueAssertion ::= SEQUENCE {
                attributeDesc   AttributeDescription,
                attributeValue  AttributeValue
        }
        
        MatchingRuleAssertion ::= SEQUENCE {
                matchingRule    [1] MatchingRuleID OPTIONAL,
                type            [2] AttributeDescription OPTIONAL,
                matchValue      [3] AssertionValue,
                dnAttributes    [4] BOOLEAN DEFAULT FALSE
        }
        
        AttributeDescription ::= LDAPString
        
        AttributeValue ::= OCTET STRING
        
        MatchingRuleID ::= LDAPString
        
        AssertionValue ::= OCTET STRING
        
        LDAPString ::= OCTET STRING
        

where the LDAPString above is limited to the UTF-8 encoding of the ISO 10646 character set [4]. The AttributeDescription is a string representation of the attribute description and is defined in [1]. The AttributeValue and AssertionValue OCTET STRING have the form defined in [2]. The Filter is encoded for transmission over a network using the Basic Encoding Rules defined in [3], with simplifications described in [1].

上記のLDAPStringは、ISO 10646文字セットのUTF-8エンコーディングに限定されています[4]。 AttributeDescriptionは属性の説明の文字列表現であり、[1]で定義されています。 AttributeValueおよびAssertionValue OCTET STRINGの形式は、[2]で定義されています。フィルターは、[3]で定義された基本的なエンコーディングルールを使用してネットワーク経由で送信するためにエンコードされます。簡略化は[1]で説明されています。

4. String Search Filter Definition
4. 文字列検索フィルター定義

The string representation of an LDAP search filter is defined by the following grammar, following the ABNF notation defined in [5]. The filter format uses a prefix notation.

LDAP検索フィルターの文字列表現は、[5]で定義されているABNF表記に従って、次の文法で定義されます。フィルター形式は、接頭表記を使用します。

        filter     = "(" filtercomp ")"
        filtercomp = and / or / not / item
        and        = "&" filterlist
        or         = "|" filterlist
        not        = "!" filter
        filterlist = 1*filter
        item       = simple / present / substring / extensible
        simple     = attr filtertype value
        filtertype = equal / approx / greater / less
        equal      = "="
        approx     = "~="
        greater    = ">="
        less       = "<="
        extensible = attr [":dn"] [":" matchingrule] ":=" value
                     / [":dn"] ":" matchingrule ":=" value
        present    = attr "=*"
        substring  = attr "=" [initial] any [final]
        initial    = value
        any        = "*" *(value "*")
        final      = value
        attr       = AttributeDescription from Section 4.1.5 of [1]
        matchingrule = MatchingRuleId from Section 4.1.9 of [1]
        value      = AttributeValue from Section 4.1.6 of [1]
        

The attr, matchingrule, and value constructs are as described in the corresponding section of [1] given above.

attr、matchingrule、およびvalue構文は、上記の[1]の対応するセクションで説明されているとおりです。

If a value should contain any of the following characters

値に次の文字のいずれかを含める必要がある場合

           Character       ASCII value
           ---------------------------
           *               0x2a
           (               0x28
           )               0x29
           \               0x5c
           NUL             0x00
        

the character must be encoded as the backslash '\' character (ASCII 0x5c) followed by the two hexadecimal digits representing the ASCII value of the encoded character. The case of the two hexadecimal digits is not significant.

文字は、バックスラッシュ「\」文字(ASCII 0x5c)の後にエンコードされた文字のASCII値を表す2桁の16進数としてエンコードする必要があります。 2桁の16進数の大文字と小文字は区別されません。

This simple escaping mechanism eliminates filter-parsing ambiguities and allows any filter that can be represented in LDAP to be represented as a NUL-terminated string. Other characters besides the ones listed above may be escaped using this mechanism, for example, non-printing characters.

この単純なエスケープメカニズムにより、フィルター解析のあいまいさがなくなり、LDAPで表すことができるすべてのフィルターを、NULで終了する文字列として表すことができます。上記の文字以外の文字、たとえば非印刷文字は、このメカニズムを使用してエスケープできます。

For example, the filter checking whether the "cn" attribute contained a value with the character "*" anywhere in it would be represented as "(cn=*\2a*)".

たとえば、「cn」属性に「*」という文字が含まれる値が含まれているかどうかをチェックするフィルターは、「(cn = * \ 2a *)」として表されます。

Note that although both the substring and present productions in the grammar above can produce the "attr=*" construct, this construct is used only to denote a presence filter.

上記の文法の部分文字列と現在の生成の両方で "attr = *"構成を生成できますが、この構成は存在フィルターを示すためにのみ使用されることに注意してください。

5. Examples
5. 例

This section gives a few examples of search filters written using this notation.

このセクションでは、この表記を使用して記述された検索フィルターの例をいくつか示します。

        (cn=Babs Jensen)
        (!(cn=Tim Howes))
        (&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*)))
        (o=univ*of*mich*)
        

The following examples illustrate the use of extensible matching.

次の例は、拡張可能なマッチングの使用法を示しています。

        (cn:1.2.3.4.5:=Fred Flintstone)
        (sn:dn:2.4.6.8.10:=Barney Rubble)
        (o:dn:=Ace Industry)
        (:dn:2.4.6.8.10:=Dino)
        

The second example illustrates the use of the ":dn" notation to indicate that matching rule "2.4.6.8.10" should be used when making comparisons, and that the attributes of an entry's distinguished name should be considered part of the entry when evaluating the match.

2番目の例は、「:dn」表記を使用して、比較を行うときに一致ルール「2.4.6.8.10」を使用し、評価時にエントリの識別名の属性をエントリの一部と見なす必要があることを示しています。試合。

The third example denotes an equality match, except that DN components should be considered part of the entry when doing the match.

3番目の例は、一致の実行時にDNコンポーネントをエントリの一部と見なす必要があることを除いて、等値一致を示しています。

The fourth example is a filter that should be applied to any attribute supporting the matching rule given (since the attr has been left off). Attributes supporting the matching rule contained in the DN should also be considered.

4番目の例は、指定された一致ルールをサポートする属性に適用する必要があるフィルターです(attrが省略されているため)。 DNに含まれる一致ルールをサポートする属性も考慮する必要があります。

The following examples illustrate the use of the escaping mechanism.

次の例は、エスケープメカニズムの使用法を示しています。

        (o=Parens R Us \28for all your parenthetical needs\29)
        (cn=*\2A*)
        (filename=C:\5cMyFile)
        (bin=\00\00\00\04)
        (sn=Lu\c4\8di\c4\87)
        

The first example shows the use of the escaping mechanism to represent parenthesis characters. The second shows how to represent a "*" in a value, preventing it from being interpreted as a substring indicator. The third illustrates the escaping of the backslash character.

最初の例は、エスケープメカニズムを使用して括弧文字を表す方法を示しています。 2番目は、値で「*」を表し、それがサブストリングインジケーターとして解釈されないようにする方法を示しています。 3番目は、バックスラッシュ文字のエスケープを示しています。

The fourth example shows a filter searching for the four-byte value 0x00000004, illustrating the use of the escaping mechanism to represent arbitrary data, including NUL characters.

4番目の例は、4バイトの値0x00000004を検索するフィルターを示し、エスケープメカニズムを使用してNUL文字を含む任意のデータを表す方法を示しています。

The final example illustrates the use of the escaping mechanism to represent various non-ASCII UTF-8 characters.

最後の例は、エスケープメカニズムを使用してさまざまな非ASCII UTF-8文字を表す方法を示しています。

6. Security Considerations
6. セキュリティに関する考慮事項

This memo describes a string representation of LDAP search filters. While the representation itself has no known security implications, LDAP search filters do. They are interpreted by LDAP servers to select entries from which data is retrieved. LDAP servers should take care to protect the data they maintain from unauthorized access.

このメモは、LDAP検索フィルターの文字列表現について説明しています。表現自体には既知のセキュリティ上の影響はありませんが、LDAP検索フィルターにはあります。これらはLDAPサーバーによって解釈され、データを取得するエントリーを選択します。 LDAPサーバーは、維持するデータを不正アクセスから保護するように注意する必要があります。

7. References
7. 参考文献

[1] Wahl, M., Howes, T., and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.

[1] Wahl、M.、Howes、T。、およびS. Kille、「Lightweight Directory Access Protocol(v3)」、RFC 2251、1997年12月。

[2] Wahl, M., Coulbeck, A., Howes, T., and S. Kille, "Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions", RFC 2252, December 1997.

[2] Wahl、M.、Coulbeck、A.、Howes、T。、およびS. Kille、「Lightweight Directory Access Protocol(v3):Attribute Syntax Definitions」、RFC 2252、1997年12月。

[3] Specification of ASN.1 encoding rules: Basic, Canonical, and Distinguished Encoding Rules, ITU-T Recommendation X.690, 1994.

[3] ASN.1エンコードルールの仕様:基本、正規、および識別エンコードルール、ITU-T勧告X.690、1994。

[4] Yergeau, F., "UTF-8, a transformation format of Unicode and ISO 10646", RFC 2044, October 1996.

[4] Yergeau、F。、「UTF-8、UnicodeおよびISO 10646の変換フォーマット」、RFC 2044、1996年10月。

[5] Crocker, D., "Standard for the Format of ARPA Internet Text Messages", STD 11, RFC 822, August 1982.

[5] Crocker、D。、「ARPAインターネットテキストメッセージのフォーマットの標準」、STD 11、RFC 822、1982年8月。

8. Author's Address
8. 著者のアドレス

Tim Howes Netscape Communications Corp. 501 E. Middlefield Road Mountain View, CA 94043 USA

Tim Howes Netscape Communications Corp. 501 E. Middlefield Road Mountain View、CA 94043 USA

   Phone: +1 415 937-3419
   EMail: howes@netscape.com
        
9. 完全な著作権表示

Copyright (C) The Internet Society (1997). All Rights Reserved.

Copyright(C)The Internet Society(1997)。全著作権所有。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントとその翻訳はコピーして他のユーザーに提供することができ、コメントまたはその他の方法で説明したり、その実装を支援する二次的著作物は、いかなる種類の制限なしに、全体または一部を準備、コピー、公開、および配布することができます。 、ただし、上記の著作権表示とこの段落は、そのようなすべてのコピーと派生物に含まれています。ただし、このドキュメント自体は、著作権に関する通知を削除したり、インターネットソサエティや他のインターネット組織への参照を削除したりするなど、いかなる方法でも変更できません。ただし、インターネット標準を開発する目的で必要な場合は除きます。インターネット標準のプロセスに従うか、または必要に応じて、それを英語以外の言語に翻訳する必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記で付与された制限付きのアクセス許可は永続的であり、インターネットソサエティまたはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は「現状有姿」で提供され、インターネット社会およびインターネット技術タスクフォースは、明示または黙示を問わず、ここに記載されている情報の使用が保証するものに限定されないいかなる保証も含め、一切の保証を否認します。商品性または特定の目的への適合性に関する権利または黙示の保証を侵害すること。