[要約] RFC 4532は、LDAPの「Who am I?」操作に関する仕様を定めたものです。このRFCの目的は、クライアントが自身の識別情報を確認するための操作を提供することです。
Network Working Group K. Zeilenga
Request for Comments: 4532 OpenLDAP Foundation
Category: Standards Track June 2006
Lightweight Directory Access Protocol (LDAP) "Who am I?" Operation
Lightweight Directory Access Protocol(LDAP)「私は誰ですか?」手術
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
This specification provides a mechanism for Lightweight Directory Access Protocol (LDAP) clients to obtain the authorization identity the server has associated with the user or application entity. This mechanism is specified as an LDAP extended operation called the LDAP "Who am I?" operation.
この仕様は、サーバーがユーザーまたはアプリケーションエンティティに関連付けられている認証IDを取得するためのLightweight Directory Access Protocol(LDAP)クライアントのメカニズムを提供します。このメカニズムは、LDAP「私は誰ですか?」と呼ばれるLDAP拡張操作として指定されています。手術。
This specification describes a Lightweight Directory Access Protocol (LDAP) [RFC4510] operation that clients can use to obtain the primary authorization identity, in its primary form, that the server has associated with the user or application entity. The operation is called the "Who am I?" operation.
この仕様では、クライアントがサーバーがユーザーまたはアプリケーションエンティティに関連付けている主な形式で主要な認証IDを取得するためにクライアントが使用できる軽量ディレクトリアクセスプロトコル(LDAP)[RFC4510]操作について説明します。操作は「私は誰ですか?」と呼ばれます。手術。
This specification is intended to replace the existing Authorization Identity Controls [RFC3829] mechanism, which uses Bind request and response controls to request and return the authorization identity. Bind controls are not protected by security layers established by the Bind operation that includes them. While it is possible to establish security layers using StartTLS [RFC4511][RFC4513] prior to the Bind operation, it is often desirable to use security layers established by the Bind operation. An extended operation sent after a Bind operation is protected by the security layers established by the Bind operation.
この仕様は、既存の認証IDコントロール[RFC3829]メカニズムを置き換えることを目的としています。これは、バインドリクエストと応答コントロールを使用して認証IDを要求して返すことを目的としています。バインドコントロールは、それらを含むバインド操作によって確立されたセキュリティレイヤーによって保護されません。BIND操作の前にstartTLS [RFC4511] [RFC4513]を使用してセキュリティレイヤーを確立することは可能ですが、バインド操作によって確立されたセキュリティレイヤーを使用することが望ましいことがよくあります。バインド操作の後に送信される拡張操作は、バインド操作によって確立されたセキュリティレイヤーによって保護されます。
There are other cases where it is desirable to request the authorization identity that the server associated with the client separately from the Bind operation. For example, the "Who am I?" operation can be augmented with a Proxied Authorization Control [RFC4370] to determine the authorization identity that the server associates with the identity asserted in the Proxied Authorization Control. The "Who am I?" operation can also be used prior to the Bind operation.
バインド操作とは別にクライアントに関連付けられているサーバーが認証アイデンティティを要求することが望ましい他のケースがあります。たとえば、「私は誰ですか?」操作は、プロキシド認証制御[RFC4370]で拡張して、サーバーがProxied認証制御で主張したアイデンティティに関連付けられている認証アイデンティティを決定できます。「私は誰ですか?」操作は、バインド操作の前にも使用できます。
Servers often associate multiple authorization identities with the client, and each authorization identity may be represented by multiple authzId [RFC4513] strings. This operation requests and returns the authzId that the server considers primary. In the specification, the term "the authorization identity" and "the authzId" are generally to be read as "the primary authorization identity" and the "the primary authzId", respectively.
サーバーは、多くの場合、複数の承認のアイデンティティをクライアントに関連付け、各認証IDは複数のauthzid [rfc4513]文字列によって表される場合があります。この操作は、サーバーがプライマリを考慮するAuthzidを要求して返します。仕様では、「認証アイデンティティ」と「authzid」という用語は、一般に、それぞれ「主要な認証アイデンティティ」と「主要なauthzid」として読み取られます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、BCP 14 [RFC2119]に記載されているように解釈される。
The "Who am I?" operation is defined as an LDAP Extended Operation [RFC4511] identified by the whoamiOID Object Identifier (OID). This section details the syntax of the operation's whoami request and response messages.
「私は誰ですか?」操作は、whoamioidオブジェクト識別子(OID)によって識別されるLDAP拡張操作[RFC4511]として定義されます。このセクションでは、操作のwhoamiリクエストと応答メッセージの構文について詳しく説明します。
whoamiOID ::= "1.3.6.1.4.1.4203.1.11.3"
The whoami request is an ExtendedRequest with a requestName field containing the whoamiOID OID and an absent requestValue field. For example, a whoami request could be encoded as the sequence of octets (in hex):
woami requestは、whoamioid oidと存在しないリクエストバリューフィールドを含むrequestnameフィールドを備えた拡張レクエストです。たとえば、whoamiリクエストは、オクテットのシーケンス(16進数)としてエンコードできます。
30 1e 02 01 02 77 19 80 17 31 2e 33 2e 36 2e 31 2e 34 2e 31 2e 34 32 30 33 2e 31 2e 31 31 2e 33
30 1e 02 01 02 77 19 80 17 31 2e 33 2e 36 2e 31 2e 34 2e 31 2e 34 32 30 33 2e 31 2e 31 31 31 2e 33
The whoami response is an ExtendedResponse where the responseName field is absent and the response field, if present, is empty or an authzId [RFC4513]. For example, a whoami response returning the authzId "u:xxyyz@EXAMPLE.NET" (in response to the example request) would be encoded as the sequence of octets (in hex):
woami応答は、応答フィールドが存在しない場合、応答フィールドが存在する場合、存在する場合、空またはauthzid [rfc4513]です。たとえば、authzid "u:xxyyz@example.net"(要求の例に応じて)を返すWoami応答は、オクテットのシーケンス(16進数)としてエンコードされます。
30 21 02 01 02 78 1c 0a 01 00 04 00 04 00 8b 13 75 3a 78 78 79 79 7a 40 45 58 41 4d 50 4c 45 2e 4e 45 54
30 21 02 01 02 78 1C 0A 01 00 04 00 04 00 8B 13 75 3A 78 78 79 7A 40 45 58 41 4D 50 4C 45 2E 4E 45 54
The "Who am I?" operation provides a mechanism, a whoami Request, for the client to request that the server return the authorization identity it currently associates with the client. It also provides a mechanism, a whoami Response, for the server to respond to that request.
「私は誰ですか?」操作は、クライアントが現在クライアントに関連付けている認証IDをサーバーに返すようにクライアントに要求するメカニズム、Woamiリクエストを提供します。また、サーバーがそのリクエストに応答するメカニズム、Woami応答も提供します。
Servers indicate their support for this extended operation by providing a whoamiOID object identifier as a value of the 'supportedExtension' attribute type in their root DSE. The server SHOULD advertise this extension only when the client is willing and able to perform this operation.
サーバーは、ルートDSEの「supportedextension」属性タイプの値としてwhoamioidオブジェクト識別子を提供することにより、この拡張操作のサポートを示します。サーバーは、クライアントがこの操作を喜んで実行できる場合にのみ、この拡張機能を宣伝する必要があります。
If the server is willing and able to provide the authorization identity it associates with the client, the server SHALL return a whoami Response with a success resultCode. If the server is treating the client as an anonymous entity, the response field is present but empty. Otherwise, the server provides the authzId [RFC4513] representing the authorization identity it currently associates with the client in the response field.
サーバーがクライアントに関連する認証IDを喜んで提供できる場合、サーバーは成功結果コードでhoami応答を返すものとします。サーバーがクライアントを匿名のエンティティとして扱っている場合、応答フィールドは存在しますが空です。それ以外の場合、サーバーは、現在応答フィールドでクライアントと関連付けられている認証アイデンティティを表すAuthzid [RFC4513]を提供します。
If the server is unwilling or unable to provide the authorization identity it associates with the client, the server SHALL return a whoami Response with an appropriate non-success resultCode (such as operationsError, protocolError, confidentialityRequired, insufficientAccessRights, busy, unavailable, unwillingToPerform, or other) and an absent response field.
サーバーがクライアントに関連する認証IDを提供したくないか、またはクライアントに関連付けられていない場合、サーバーは適切な非サクセス結果コード(OperationsError、Protocolerror、ConfidentRequired、不十分なアクセス権など、忙しい、利用できない、undoperform、またはその他)および存在しない応答フィールド。
As described in [RFC4511] and [RFC4513], an LDAP session has an "anonymous" association until the client has been successfully authenticated using the Bind operation. Clients MUST NOT invoke the "Who am I?" operation while any Bind operation is in progress, including between two Bind requests made as part of a multi-stage Bind operation. Where a whoami Request is received in violation of this absolute prohibition, the server should return a whoami Response with an operationsError resultCode.
[RFC4511]および[RFC4513]で説明されているように、LDAPセッションには、Bind操作を使用してクライアントが正常に認証されるまで「匿名」関連があります。クライアントは「私は誰ですか?」を呼び起こしてはなりません。操作マルチステージバインド操作の一部として作成された2つのバインドリクエストの間を含む、任意のバインド操作が進行中です。この絶対的な禁止に違反してhoamiリクエストが受信された場合、サーバーはOperationError resultコードでwoami応答を返す必要があります。
Future specifications may extend the "Who am I?" operation using the control mechanism [RFC4511]. When extended by controls, the "Who am I?" operation requests and returns the authorization identity the server associates with the client in a particular context indicated by the controls.
将来の仕様は、「私は誰ですか?」を拡張するかもしれません。制御メカニズムを使用した動作[RFC4511]。コントロールによって拡張されると、「私は誰ですか?」操作は、コントロールによって示される特定のコンテキストで、サーバーがクライアントと関連付けている認証IDを要求して返します。
The Proxied Authorization Control [RFC4370] is used by clients to request that the operation it is attached to operate under the authorization of an assumed identity. The client provides the identity to assume in the Proxied Authorization request control. If the client is authorized to assume the requested identity, the server executes the operation as if the requested identity had issued the operation.
プロキシド認可コントロール[RFC4370]は、クライアントによって使用され、想定されたアイデンティティの承認の下で動作するために添付されるように操作を要求します。クライアントは、プロキシされた承認要求コントロールで想定するアイデンティティを提供します。クライアントが要求されたIDを想定することを許可されている場合、要求された身元が操作を発行したかのように、サーバーは操作を実行します。
As servers often map the asserted authzId to another identity [RFC4513], it is desirable to request that the server provide the authzId it associates with the assumed identity.
サーバーはしばしばアサートされたAuthzidを別のアイデンティティ[RFC4513]にマッピングするため、サーバーがAuthzid IT ITを想定されたアイデンティティに関連付けることを要求することが望ましい。
When a Proxied Authorization Control is be attached to the "Who am I?" operation, the operation requests the return of the authzId the server associates with the identity asserted in the Proxied Authorization Control. The authorizationDenied (123) result code is used to indicate that the server does not allow the client to assume the asserted identity.
「私は誰ですか?」にプロキシされた承認制御が添付されている場合操作では、Authzidの返却を要求します。サーバーは、プロキシド認可コントロールで主張されたIDと関連付けられています。AuthorizationDenied(123)結果コードは、サーバーがクライアントが主張されたIDを想定していないことを示すために使用されます。
Identities associated with users may be sensitive information. When they are, security layers [RFC4511][RFC4513] should be established to protect this information. This mechanism is specifically designed to allow security layers established by a Bind operation to protect the integrity and/or confidentiality of the authorization identity.
ユーザーに関連するアイデンティティは、機密情報である場合があります。これらの場合、この情報を保護するために、セキュリティレイヤー[RFC4511] [RFC4513]を確立する必要があります。このメカニズムは、承認IDの完全性および/または機密性を保護するために、バインド操作によって確立されたセキュリティレイヤーを可能にするために特別に設計されています。
Servers may place access control or other restrictions upon the use of this operation. As stated in Section 3, the server SHOULD advertise this extension when it is willing and able to perform the operation.
サーバーは、この操作の使用時にアクセス制御またはその他の制限を配置する場合があります。セクション3に記載されているように、サーバーは、操作を実行して実行できるときにこの拡張機能を宣伝する必要があります。
As with any other extended operations, general LDAP security considerations [RFC4510] apply.
他の拡張操作と同様に、一般的なLDAPセキュリティに関する考慮事項[RFC4510]が適用されます。
The OID 1.3.6.1.4.1.4203.1.11.3 is used to identify the LDAP "Who am I?" extended operation. This OID was assigned [ASSIGN] by the OpenLDAP Foundation, under its IANA-assigned private enterprise allocation [PRIVATE], for use in this specification.
OID 1.3.6.1.4.1.4203.1.11.3は、LDAP「私は誰ですか?」を識別するために使用されます。拡張操作。このOIDは、この仕様で使用するために、IANAが割り当てられた民間企業配分[Private]に基づいて、OpenLdap Foundationによって割り当てられました。
Registration of this protocol mechanism [RFC4520] has been completed by the IANA.
このプロトコルメカニズム[RFC4520]の登録は、IANAによって完了しました。
Subject: Request for LDAP Protocol Mechanism Registration
Object Identifier: 1.3.6.1.4.1.4203.1.11.3
Description: Who am I?
Person & email address to contact for further information:
Kurt Zeilenga <kurt@openldap.org>
Usage: Extended Operation
Specification: RFC 4532
Author/Change Controller: IESG
Comments: none
This document borrows from prior work in this area, including "Authentication Response Control" [RFC3829] by Rob Weltman, Mark Smith, and Mark Wahl.
このドキュメントは、ロブ・ウェルトマン、マーク・スミス、マーク・ウォールによる「認証応答制御」[RFC3829]を含む、この分野での以前の作業から借用しています。
The LDAP "Who am I?" operation takes it's name from the UNIX whoami(1) command. The whoami(1) command displays the effective user ID.
LDAP「私は誰ですか?」操作は、Unix whaami(1)コマンドから名前を取得します。woami(1)コマンドは、効果的なユーザーIDを表示します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC4370] Weltman, R., "Lightweight Directory Access Protocol (LDAP) Proxied Authorization Control", RFC 4370, February 2006.
[RFC4370] Weltman、R。、「Lightweight Directory Access Protocol(LDAP)Proxied Authorization Control」、RFC 4370、2006年2月。
[RFC4510] Zeilenga, K., Ed., "Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map", RFC 4510, June 2006.
[RFC4510] Zeilenga、K。、ed。、「Lightweight Directory Access Protocol(LDAP):技術仕様ロードマップ」、RFC 4510、2006年6月。
[RFC4511] Sermersheim, J., Ed., "Lightweight Directory Access Protocol (LDAP): The Protocol", RFC 4511, June 2006.
[RFC4511] Sermersheim、J.、ed。、「Lightweight Directory Access Protocol(LDAP):The Protocol」、RFC 4511、2006年6月。
[RFC4513] Harrison, R., Ed., "Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms", RFC 4513, June 2006.
[RFC4513] Harrison、R.、ed。、「Lightweight Directory Access Protocol(LDAP):認証方法とセキュリティメカニズム」、RFC 4513、2006年6月。
[RFC3829] Weltman, R., Smith, M., and M. Wahl, "Lightweight Directory Access Protocol (LDAP) Authorization Identity Request and Response Controls", RFC 3829, July 2004.
[RFC3829] Weltman、R.、Smith、M。、およびM. Wahl、「Lightweight Directory Access Protocol(LDAP)認証IDリクエストと応答コントロール」、RFC 3829、2004年7月。
[RFC4520] Zeilenga, K., "Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP)", BCP 64, RFC 4520, June 2006.
[RFC4520] Zeilenga、K。、「Internet Assigned Numbers Authority(IANA)Lightwight Directory Access Protocol(LDAP)の考慮事項」、BCP 64、RFC 4520、2006年6月。
[ASSIGN] OpenLDAP Foundation, "OpenLDAP OID Delegations", http://www.openldap.org/foundation/oid-delegate.txt.
[割り当て] OpenLdap Foundation、「OpenLdap Oid Delegations」、http://www.openldap.org/foundation/oid-delegate.txt。
[PRIVATE] IANA, "Private Enterprise Numbers", http://www.iana.org/assignments/enterprise-numbers.
[プライベート] IANA、「プライベートエンタープライズ番号」、http://www.iana.org/assignments/enterprise-numbers。
Author's Address
著者の連絡先
Kurt D. Zeilenga OpenLDAP Foundation
Kurt D. Zeilenga OpenLdap Foundation
EMail: Kurt@OpenLDAP.org
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。