[要約] RFC 6171は、LDAPでのコピー制御の使用を推奨しないことを述べています。このRFCの目的は、LDAPの実装者に対して、コピー制御の問題とセキュリティ上のリスクを認識し、適切な代替手段を採用するよう促すことです。
Internet Engineering Task Force (IETF) K. Zeilenga Request for Comments: 6171 Isode Limited Category: Standards Track March 2011 ISSN: 2070-1721
The Lightweight Directory Access Protocol (LDAP) Don't Use Copy Control
LightWeight Directory Accessプロトコル(LDAP)はコピーコントロールを使用しないでください
Abstract
概要
This document defines the Lightweight Directory Access Protocol (LDAP) Don't Use Copy control extension, which allows a client to specify that copied information should not be used in providing service. This control is based upon the X.511 dontUseCopy service control option.
このドキュメントでは、Lightweight Directory Access Protocol(LDAP)を定義してください。コピー制御拡張機能を使用してください。これにより、クライアントはコピーされた情報を提供する際に使用してはならないことを指定できます。この制御は、X.511 DontUseCopy Service Controlオプションに基づいています。
Status of This Memo
本文書の位置付け
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 5741のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6171.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6171で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日までに公開または公開されたIETFドキュメントまたはIETFの寄付からの資料が含まれている場合があります。IETF標準プロセスの外。そのような資料の著作権を制御する人から適切なライセンスを取得せずに、このドキュメントはIETF標準プロセスの外側に変更されない場合があり、その派生作業は、ITF標準プロセスの外側で作成されない場合があります。RFCとしての出版またはそれを英語以外の言語に翻訳するため。
This document defines the Lightweight Directory Access Protocol (LDAP) [RFC4510] Don't Use Copy control extension. The control may be attached to request messages to indicate that copied (replicated or cached) information [X.500] is not be used in providing service. This control is based upon the X.511 [X.511] dontUseCopy service control option.
このドキュメントでは、Lightweight Directory Access Protocol(LDAP)[RFC4510]を定義してください。コピー制御拡張機能は使用しません。コントロールは、コピー(複製またはキャッシュされた)情報[X.500]がサービスの提供に使用されていないことを示すメッセージを要求するために添付される場合があります。この制御は、x.511 [x.511] dontusecopyサービス制御オプションに基づいています。
The Don't Use Copy control is intended to be used where the client requires the service be provided using original (master) information [X.500]. In absence of this control, the server is free to make use of copied (i.e., non-authoritative) information in providing the requested service.
使用しないコピーコントロールは、クライアントが元の(マスター)情報[X.500]を使用してサービスを提供する必要がある場合に使用することを目的としています。このコントロールがない場合、サーバーは、要求されたサービスを提供する際に、コピーされた(つまり、非認証)情報を自由に利用できます。
For instance, a client might desire to have an authoritative answer to a question of whether or not a particular user is a member of a group. To ask this question of a server, the client might issue a compare request [RFC4511], with the Don't Use Copy control, where the entry parameter is the Distinguished Name (DN) of the group, the ava.attributeDesc is 'member', and the ava.assertionValue is the DN of the user in question. If the server has access to the original (master) information directly or through chaining, it performs the operation against the original (master) information and returns compareTrue or compareFalse (or an error). If the server does not have access to the original information, the server is obligated to either return a referral or an error.
たとえば、クライアントは、特定のユーザーがグループのメンバーであるかどうかの質問に対して権威ある回答をしたい場合があります。サーバーのこの質問をするために、クライアントはCompare Request [RFC4511]を発行する可能性があります。コピーコントロールを使用しないでください。エントリパラメーターはグループの区別名(DN)です。AVA.ATTRIBUTEDESCは 'メンバーです。'、およびava.assertionValueは、問題のユーザーのDNです。サーバーが元の(マスター)情報に直接またはチェーンを介してアクセスできる場合、元の(マスター)情報に対して操作を実行し、比較または比較(またはエラー)を返します。サーバーが元の情報にアクセスできない場合、サーバーは紹介またはエラーを返す義務があります。
It is not intended that this control be used generally (e.g., for all LDAP interrogation operations) but only as required to ensure proper directory application behavior. In general, directory applications ought to designed to use copied information well.
このコントロールを一般的に使用することを意図していません(たとえば、すべてのLDAP尋問操作について)が、適切なディレクトリアプリケーションの動作を確保するために必要な場合にのみです。一般に、ディレクトリアプリケーションは、コピーされた情報を適切に使用するように設計する必要があります。
DSA stands for Directory System Agent (or server). DSE stands for DSA-Specific Entry.
DSAは、ディレクトリシステムエージェント(またはサーバー)の略です。DSEはDSA固有のエントリを表しています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
The Don't Use Copy control is an LDAP Control [RFC4511] whose controlType is 1.3.6.1.1.22 and controlValue is absent. The criticality MUST be TRUE. There is no corresponding response control.
使用しないコピーコントロールは、ControlTypeが1.3.6.1.1.22であり、ControlValueが存在しないLDAPコントロール[RFC4511]です。重要性は真実でなければなりません。対応する応答制御はありません。
The control is appropriate for LDAP interrogation operations, including Compare and Search operations [RFC4511]. It is inappropriate for all other operations, including Abandon, Bind, Delete, Modify, ModifyDN, StartTLS, and Unbind operations [RFC4511].
このコントロールは、比較および検索操作[RFC4511]を含むLDAP尋問操作に適しています。放棄、バインド、削除、変更、修正、startTLS、およびUnbind操作[RFC4511]など、他のすべての操作には不適切です。
When the control is attached to an LDAP request, the requested operation MUST NOT be performed on copied information. That is, the requested operation MUST be performed on original information.
コントロールがLDAPリクエストに添付されている場合、要求された操作をコピーした情報で実行してはなりません。つまり、要求された操作は元の情報で実行する必要があります。
If original (master) information for the target or base object of the operation is not available (either locally or through chaining), the server MUST either return a referral directing the client to a server believed to be better able to service the request or return an appropriate result code (e.g., unwillingToPerform).
操作のターゲットまたはベースオブジェクトの元の(マスター)情報が利用できない場合(ローカルまたはチェーンを介して)、サーバーはクライアントをよりよくサービスできると思われるサーバーに照会する紹介を返すか、リクエストをよりよくサービスできるか、返品する必要があります適切な結果コード(例:UnwillingToperform)。
It is noted that a referral, if returned, is not necessarily to the server holding the original (master) information. It is also noted that an authoritative answer to the question might not be available to the client for any number of reasons.
紹介は、返された場合、必ずしも元の(マスター)情報を保持しているサーバーにはないことに注意してください。また、質問に対する権威ある答えは、何らかの理由でクライアントが利用できない可能性があることにも注意してください。
Where the client chases a referral to a server (as referenced by an LDAP URL) in the server response in order to obtain an authoritative response, the client MUST provide the dontUseCopy control with the interrogation request it makes to the referred to server. While LDAP allows return of other kinds of URIs, the syntax and semantics of other kinds of URIs are left to future specifications. The particulars of how to act upon other kinds of URIs are also left to future specifications.
クライアントが信頼できる応答を取得するためにサーバーの応答で(LDAP URLで参照される)サーバーへの紹介を追跡する場合、クライアントは、紹介されたサーバーに行う尋問要求でDontUSeCopyコントロールを提供する必要があります。LDAPは他の種類のURIを返すことができますが、他の種類のURIの構文とセマンティクスは将来の仕様に委ねられています。他の種類のURIに基づいて行動する方法の詳細も、将来の仕様に任されています。
Servers implementing this technical specification SHOULD publish the object identifier 1.3.6.1.1.22 as a value of the 'supportedControl' attribute [RFC4512] in their root DSE. A server MAY choose to advertise this extension only when the client is authorized to use it.
この技術仕様を実装するサーバーは、オブジェクト識別子1.3.6.1.1.22を「サポートコントロール」属性[RFC4512]の値としてルートDSEに公開する必要があります。サーバーは、クライアントがそれを使用することを許可されている場合にのみ、この拡張機能を宣伝することを選択できます。
This control is intended to be provided where providing service using copied information might lead to unexpected application behavior.
このコントロールは、コピーされた情報を使用してサービスを提供すると、予期しないアプリケーション動作につながる可能性がある場合に提供されることを目的としています。
Use of the Don't Use Copy control may permit an attacker to perform or amplify a denial-of-service attack by causing additional server resources to be employed, such as when the server chooses to chain the request instead of returning a referral. Servers capable of such chaining can mitigate this threat by limiting chaining to a particular group of authenticated entities.
Not Copy Controlの使用により、攻撃者は、紹介を返す代わりにサーバーがリクエストをチェーンすることを選択するときなど、追加のサーバーリソースを使用することにより、サービス拒否攻撃を実行または増幅することができます。そのようなチェーンが可能なサーバーは、特定の認証されたエンティティのグループにチェーンを制限することにより、この脅威を軽減できます。
LDAP is frequently used for storage and distribution of security-sensitive information, including access control and security policy information. Failure to use the Don't Use Copy control may thus permit an attacker to gain unauthorized access by allowing reliance on stale data.
LDAPは、アクセス制御やセキュリティポリシー情報など、セキュリティに敏感な情報の保存と配布に頻繁に使用されます。したがって、コピーコントロールを使用しないと、古いデータへの依存を可能にすることにより、攻撃者が不正アクセスを得ることができる場合があります。
IANA has assigned an LDAP Object Identifier [RFC4520] to identify the LDAP Don't Use Copy Control defined in this document.
IANAは、LDAPオブジェクト識別子[RFC4520]を割り当てて、LDAPがこのドキュメントで定義されたコピー制御を使用しないことを識別しました。
Subject: Request for LDAP Object Identifier Registration Person & email address to contact for further information: Kurt Zeilenga <Kurt.Zeilenga@Isode.COM> Specification: RFC 6171 Author/Change Controller: IESG Comments: Identifies the LDAP Don't Use Copy Control
件名:LDAPオブジェクト識別子登録担当者とメールアドレスのリクエスト詳細については連絡先:Kurt Zeilenga <Kurt.zeilenga@isode.com>仕様:RFC 6171著者/変更コントローラー:IESGコメント:LDAPを識別してコピーコントロールを使用しないでください
IANA has registered this protocol mechanism [RFC4520] as follows.
IANAは、次のようにこのプロトコルメカニズム[RFC4520]を登録しています。
Subject: Request for LDAP Protocol Mechanism Registration Object Identifier: 1.3.6.1.1.22 Description: Don't Use Copy Control Person & email address to contact for further information: Kurt Zeilenga <Kurt.Zeilenga@Isode.COM> Usage: Control Specification: RFC 6171 Author/Change Controller: IESG Comments: none
The author thanks Ben Campbell, Phillip Hallam-Baker, and Ted Hardie for providing review and specific suggestions.
著者は、レビューと具体的な提案を提供してくれたベン・キャンベル、フィリップ・ハラム・ベーカー、テッド・ハーディに感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC4510] Zeilenga, K., Ed., "Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map", RFC 4510, June 2006.
[RFC4510] Zeilenga、K.、ed。、「Lightweight Directory Access Protocol(LDAP):技術仕様ロードマップ」、RFC 4510、2006年6月。
[RFC4511] Sermersheim, J., Ed., "Lightweight Directory Access Protocol (LDAP): The Protocol", RFC 4511, June 2006.
[RFC4511] Sermersheim、J.、ed。、「Lightweight Directory Access Protocol(LDAP):The Protocol」、RFC 4511、2006年6月。
[RFC4512] Zeilenga, K., Ed., "Lightweight Directory Access Protocol (LDAP): Directory Information Models", RFC 4512, June 2006.
[RFC4512] Zeilenga、K。、ed。、「Lightweight Directory Access Protocol(LDAP):ディレクトリ情報モデル」、RFC 4512、2006年6月。
[X.500] International Telecommunication Union - Telecommunication Standardization Sector, "The Directory -- Overview of concepts, models and services," X.500(1993) (also ISO/IEC 9594-1:1994).
[X.500]国際電気通信連合 - 通信標準化セクター、「ディレクトリ - 概念、モデル、サービスの概要」X.500(1993)(ISO/IEC 9594-1:1994)。
[X.511] International Telecommunication Union - Telecommunication Standardization Sector, "The Directory: Abstract Service Definition", X.511(1993) (also ISO/IEC 9594-3:1993).
[X.511]国際電気通信連合 - 通信標準化セクター、「ディレクトリ:要約サービス定義」、X.511(1993)(ISO/IEC 9594-3:1993)。
[RFC4520] Zeilenga, K., "Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP)", BCP 64, RFC 4520, June 2006.
[RFC4520] Zeilenga、K。、「Internet Assigned Numbers Authority(IANA)のLightweight Directory Access Protocol(LDAP)の考慮事項」、BCP 64、RFC 4520、2006年6月。
Author's Address
著者の連絡先
Kurt D. Zeilenga Isode Limited
Kurt D. Zeilenga Isode Limited
EMail: Kurt.Zeilenga@Isode.COM