[要約] RFC 3062は、LDAPパスワード変更拡張操作に関する仕様であり、LDAPクライアントがパスワードを変更するための方法を提供します。目的は、セキュアなパスワード変更プロセスを実現し、LDAPサーバーとの通信を保護することです。

Network Working Group                                        K. Zeilenga
Request for Comments: 3062                           OpenLDAP Foundation
Category: Standards Track                                  February 2001
        

LDAP Password Modify Extended Operation

LDAPパスワード拡張操作を変更します

Status of this Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2001). All Rights Reserved.

Copyright(c)The Internet Society(2001)。無断転載を禁じます。

Abstract

概要

The integration of the Lightweight Directory Access Protocol (LDAP) and external authentication services has introduced non-DN authentication identities and allowed for non-directory storage of passwords. As such, mechanisms which update the directory (e.g., Modify) cannot be used to change a user's password. This document describes an LDAP extended operation to allow modification of user passwords which is not dependent upon the form of the authentication identity nor the password storage mechanism used.

Lightweight Directory Access Protocol(LDAP)と外部認証サービスの統合により、非DN認証IDが導入され、パスワードの非方向性ストレージが可能になりました。そのため、ディレクトリを更新するメカニズム(例:変更)を使用してユーザーのパスワードを変更することはできません。このドキュメントでは、LDAP拡張操作について説明して、認証IDの形式または使用されるパスワードストレージメカニズムに依存しないユーザーパスワードの変更を可能にします。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", and "MAY" in this document are to be interpreted as described in RFC 2119.

「必須」、「そうしない」、「必須」、「「shall」、「shall」、「 "low" of "、" buld "、" becommended "、および" may ")は、このドキュメントの「推奨」、およびRFC 2119で説明されています。

1. Background and Intent of Use
1. 背景と使用意図

Lightweight Directory Access Protocol (LDAP) [RFC2251] is designed to support an number of authentication mechanisms including simple user name/password pairs. Traditionally, LDAP users where identified by the Distinguished Name [RFC2253] of a directory entry and this entry contained a userPassword [RFC2256] attribute containing one or more passwords.

Lightweight Directory Access Protocol(LDAP)[RFC2251]は、単純なユーザー名/パスワードペアなど、多くの認証メカニズムをサポートするように設計されています。伝統的に、ディレクトリエントリの著名な名前[RFC2253]によって識別されたLDAPユーザーと、このエントリには、1つ以上のパスワードを含むuserPassword [RFC2256]属性が含まれていました。

The protocol does not mandate that passwords associated with a user be stored in the directory server. The server may use any attribute suitable for password storage (e.g., userPassword), or use non-directory storage.

プロトコルは、ユーザーに関連付けられたパスワードがディレクトリサーバーに保存されることを義務付けていません。サーバーは、パスワードストレージ(ユーザーパスワードなど)に適した属性を使用するか、非ディレクトリストレージを使用する場合があります。

The integration [RFC2829] of application neutral SASL [RFC2222] services which support simple username/password mechanisms (such as DIGEST-MD5) has introduced non-LDAP DN authentication identity forms and made storage of passwords the responsibility of the SASL service provider.

単純なユーザー名/パスワードメカニズム(Digest-MD5など)をサポートするアプリケーションニュートラルSASL [RFC2222]サービスの統合[RFC2829]は、非LDAP DN認証IDフォームを導入し、SASLサービスプロバイダーの責任をパスワードのストレージにしました。

LDAP update operations are designed to act upon attributes of an entry within the directory. LDAP update operations cannot be used to modify a user's password when the user is not represented by a DN, does not have a entry, or when that password used by the server is not stored as an attribute of an entry. An alternative mechanism is needed.

LDAP更新操作は、ディレクトリ内のエントリの属性に基づいて行動するように設計されています。LDAPアップデート操作は、ユーザーがDNで表されていない、エントリがない場合、またはサーバーで使用されているパスワードがエントリの属性として保存されていない場合、ユーザーのパスワードを変更するために使用できません。別のメカニズムが必要です。

This document describes an LDAP Extended Operation intended to allow directory clients to update user passwords. The user may or may not be associated with a directory entry. The user may or may not be represented as an LDAP DN. The user's password may or may not be stored in the directory.

このドキュメントでは、ディレクトリクライアントがユーザーパスワードを更新できるようにするLDAP拡張操作について説明します。ユーザーは、ディレクトリエントリに関連付けられている場合と関連付けられている場合があります。ユーザーは、LDAP DNとして表される場合とそうでない場合があります。ユーザーのパスワードは、ディレクトリに保存される場合とない場合があります。

The operation SHOULD NOT be used without adequate security protection as the operation affords no privacy or integrity protect itself. This operation SHALL NOT be used anonymously.

オペレーションはプライバシーまたは整合性を保護しないため、適切なセキュリティ保護なしでは操作を使用しないでください。この操作は匿名で使用してはなりません。

2. Password Modify Request and Response
2. パスワードはリクエストと応答を変更します

The Password Modify operation is an LDAPv3 Extended Operation [RFC2251, Section 4.12] and is identified by the OBJECT IDENTIFIER passwdModifyOID. This section details the syntax of the protocol request and response.

パスワードの変更操作は、LDAPV3拡張操作[RFC2251、セクション4.12]であり、オブジェクト識別子passwdmodifyoioidによって識別されます。このセクションでは、プロトコル要求の構文と応答について詳しく説明します。

   passwdModifyOID OBJECT IDENTIFIER ::= 1.3.6.1.4.1.4203.1.11.1
        
   PasswdModifyRequestValue ::= SEQUENCE {
     userIdentity    [0]  OCTET STRING OPTIONAL
     oldPasswd       [1]  OCTET STRING OPTIONAL
     newPasswd       [2]  OCTET STRING OPTIONAL }
        
   PasswdModifyResponseValue ::= SEQUENCE {
     genPasswd       [0]     OCTET STRING OPTIONAL }
        
2.1. Password Modify Request
2.1. パスワードの変更リクエスト

A Password Modify request is an ExtendedRequest with the requestName field containing passwdModifyOID OID and optionally provides a requestValue field. If the requestValue field is provided, it SHALL contain a PasswdModifyRequestValue with one or more fields present.

パスワードの変更リクエストは、passwdmodifyoiod oidを含むrequestNameフィールドを備えた拡張レクエストであり、オプションでrequestValueフィールドを提供します。RequestValueフィールドが提供されている場合、1つ以上のフィールドが存在するPassWDModifyRequestValueを含めるものとします。

The userIdentity field, if present, SHALL contain an octet string representation of the user associated with the request. This string may or may not be an LDAPDN [RFC2253]. If no userIdentity field is present, the request acts up upon the password of the user currently associated with the LDAP session.

存在する場合、useridentityフィールドには、リクエストに関連付けられたユーザーのオクテット文字列表現が含まれているものとします。この文字列は、LDAPDN [RFC2253]である場合とそうでない場合があります。ユーザーアイデンティティフィールドが存在しない場合、リクエストは、LDAPセッションに現在関連付けられているユーザーのパスワードに基づいて動作します。

The oldPasswd field, if present, SHALL contain the user's current password.

OldPassWDフィールドは、存在する場合、ユーザーの現在のパスワードを含めるものとします。

The newPasswd field, if present, SHALL contain the desired password for this user.

NewPassWDフィールドは、存在する場合、このユーザーの目的のパスワードを含めるものとします。

2.2. Password Modify Response
2.2. パスワードの変更応答を変更します

A Password Modify response is an ExtendedResponse where the responseName field is absent and the response field is optional. The response field, if present, SHALL contain a PasswdModifyResponseValue with genPasswd field present.

パスワードの修正応答は、ResponseNameフィールドが存在し、応答フィールドがオプションである場合、拡張されたリスポンスです。応答フィールドは、存在する場合、GenPassWDフィールドが存在するPassWdModifyResponseValueを含むものとします。

The genPasswd field, if present, SHALL contain a generated password for the user.

GenPassWDフィールドは、存在する場合、ユーザーの生成されたパスワードを含めるものとします。

If an resultCode other than success (0) is indicated in the response, the response field MUST be absent.

成功以外の結果コード(0)が応答に示されている場合、応答フィールドは存在しない必要があります。

3. Operation Requirements
3. 操作要件

Clients SHOULD NOT submit a Password Modification request without ensuring adequate security safeguards are in place. Servers SHOULD return a non-success resultCode if sufficient security protection are not in place.

クライアントは、適切なセキュリティセーフガードが導入されていることを確認せずに、パスワード変更リクエストを送信しないでください。サーバーは、十分なセキュリティ保護が整っていない場合は、非サクセス結果コードを返す必要があります。

Servers SHOULD indicate their support for this extended operation by providing PasswdModifyOID as a value of the supportedExtension attribute type in their root DSE. A server MAY choose to advertise this extension only when the client is authorized and/or has established the necessary security protections to use this operation. Clients SHOULD verify the server implements this extended operation prior to attempting the operation by asserting the supportedExtension attribute contains a value of PasswdModifyOID.

サーバーは、ルートDSEのsupportedextension属性タイプの値としてpasswdmodifyoioiodを提供することにより、この拡張操作のサポートを示す必要があります。サーバーは、この操作を使用するために必要なセキュリティ保護をクライアントが承認したり、確立したりした場合にのみ、この拡張機能を宣伝することを選択できます。クライアントは、supportedextension属性にpasswdmodifyoioiodの値を含むと主張することにより、操作を試みる前に、サーバーがこの拡張操作を実装することを確認する必要があります。

The server SHALL only return success upon successfully changing the user's password. The server SHALL leave the password unmodified and return a non-success resultCode otherwise.

サーバーは、ユーザーのパスワードを正常に変更した場合にのみ成功を返すものとします。サーバーは、パスワードを修正されていないままにして、それ以外の場合はサクセス以外のResultCodeを返します。

If the server does not recognize provided fields or does not support the combination of fields provided, it SHALL NOT change the user password.

サーバーが提供されたフィールドを認識しない場合、または提供されたフィールドの組み合わせをサポートしていない場合、ユーザーパスワードを変更してはなりません。

If oldPasswd is present and the provided value cannot be verified or is incorrect, the server SHALL NOT change the user password. If oldPasswd is not present, the server MAY use other policy to determine whether or not to change the password.

OldPassWDが存在し、提供された値を検証できない、または間違っている場合、サーバーはユーザーのパスワードを変更してはなりません。OldPassWDが存在しない場合、サーバーは他のポリシーを使用してパスワードを変更するかどうかを判断することができます。

The server SHALL NOT generate a password on behalf of the client if the client has provided a newPasswd. In absence of a client provided newPasswd, the server SHALL either generate a password on behalf of the client or return a non-success result code. The server MUST provide the generated password upon success as the value of the genPasswd field.

クライアントがNewPassWDを提供した場合、サーバーはクライアントに代わってパスワードを生成してはなりません。クライアントがNewPassWDを提供していない場合、サーバーはクライアントに代わってパスワードを生成するか、非サクセス結果コードを返します。サーバーは、GenPassWDフィールドの値として成功すると生成されたパスワードを提供する必要があります。

The server MAY return adminLimitExceeded, busy, confidentialityRequired, operationsError, unavailable, unwillingToPerform, or other non-success resultCode as appropriate to indicate that it was unable to successfully complete the operation.

サーバーは、操作を正常に完了できないことを示すために、adminlimitexが成功し、忙しい、忙しい、操作不能な、操作不能な、またはその他の非サクセス結果を返すことができます。

Servers MAY implement administrative policies which restrict this operation.

サーバーは、この操作を制限する管理ポリシーを実装する場合があります。

4. Security Considerations
4. セキュリティに関する考慮事項

This operation is used to modify user passwords. The operation itself does not provide any security protection to ensure integrity and/or confidentiality of the information. Use of this operation is strongly discouraged when privacy protections are not in place to guarantee confidentiality and may result in the disclosure of the password to unauthorized parties. This extension MUST be used with confidentiality protection, such as Start TLS [RFC 2830]. The NULL cipher suite MUST NOT be used.

この操作は、ユーザーのパスワードを変更するために使用されます。オペレーション自体は、情報の完全性および/または機密性を確保するためのセキュリティ保護を提供しません。この操作の使用は、機密性を保証するためにプライバシー保護が整っておらず、不正な当事者へのパスワードの開示をもたらす可能性がある場合、強く落胆します。この拡張機能は、Start TLS [RFC 2830]などの機密保護を備えて使用する必要があります。null cipherスイートを使用しないでください。

5. Bibliography
5. 書誌

[RFC2219] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2219] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2222] Myers, J., "Simple Authentication and Security Layer (SASL)", RFC 2222, October 1997.

[RFC2222] Myers、J。、「Simple Authentication and Security Layer(SASL)」、RFC 2222、1997年10月。

[RFC2251] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.

[RFC2251] Wahl、M.、Howes、T。およびS. Killee、「Lightweight Directory Access Protocol(V3)」、RFC 2251、1997年12月。

[RFC2252] Wahl, M., Coulbeck, A., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions", RFC 2252, December 1997.

[RFC2252] Wahl、M.、Coulbeck、A.、Howes、T。、およびS. Kille、「Lightweight Directory Access Protocol(V3):属性構文定義」、RFC 2252、1997年12月。

[RFC2253] Wahl, M., Kille,S. and T. Howes, "Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names", RFC 2253, December 1997.

[RFC2253] Wahl、M.、Kille、s。およびT. Howes、「Lightweight Directory Access Protocol(V3):UTF-8文字列名の表現」、RFC 2253、1997年12月。

[RFC2256] Wahl, M., "A Summary of the X.500(96) User Schema for use with LDAPv3", RFC 2256, December 1997.

[RFC2256] Wahl、M。、「LDAPV3で使用するX.500(96)ユーザースキーマの要約」、RFC 2256、1997年12月。

[RFC2829] Wahl, M., Alvestrand, H., Hodges, J. and R. Morgan, "Authentication Methods for LDAP", RFC 2829, May 2000.

[RFC2829] Wahl、M.、Alvestrand、H.、Hodges、J。and R. Morgan、「LDAPの認証方法」、RFC 2829、2000年5月。

[RFC2830] Hodges, J., Morgan, R. and M. Wahl, "Lightweight Directory Access Protocol (v3): Extension for Transport Layer Security", RFC 2830, May 2000.

[RFC2830] Hodges、J.、Morgan、R。、およびM. Wahl、「Lightweight Directory Access Protocol(V3):輸送層のセキュリティの拡張」、RFC 2830、2000年5月。

6. Acknowledgment
6. 了承

This document borrows from a number of IETF documents and is based upon input from the IETF LDAPext working group.

このドキュメントは、多くのIETFドキュメントから借用し、IETF LDAPEXTワーキンググループからの入力に基づいています。

7. Author's Address
7. 著者の連絡先

Kurt D. Zeilenga OpenLDAP Foundation

Kurt D. Zeilenga OpenLdap Foundation

   EMail: Kurt@OpenLDAP.org
        
8. 完全な著作権声明

Copyright (C) The Internet Society (2001). All Rights Reserved.

Copyright(c)The Internet Society(2001)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。