日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

v3 簡單目錄訪問協議:傳輸層安全擴展( 三 )

云知道


返回confidentialityRequired或者strongAuthRequired結果 。(而)客戶程序可以(MAY)
發(fā)送啟動TLS擴展請求,或者可以(MAY)選擇關閉連接 。
3.2.啟動TLS
假如服務程序愿意和有能力協商TLS,則服務程序將返回成功的resultCode擴展回答 。
假如不能,則返回本文上面描述的其他resultCodes 。
在成功的情況下,客戶程序在連接中已經停止了傳送LDAP請求,(客戶程序)必須(MUST)
或者開始TLS協商或者關閉連接 ??蛻舫绦驅⒃趯Ψ粘绦虺跏蓟疶LS協商[TLS]的基于傳輸
連接的TLS記錄協議(TLSRecordProtocol)中發(fā)送PDUs 。
3.3.TLS版本協商
應用TLS或者SSL的版本協商是TLS握手協議(TLSHandshakeProtocol)的一部分,
在[TLS]文檔中具體描述,請參閱 。
3.4.結果安全級的發(fā)現(DiscoveryofResultantSecurity
Level)
在TLS連接被建立在LDAP關聯之后,雙方必須(MUST)逐個判定是否繼續(xù)構建(basedon)
私有級取得(theprivacylevelachieved) 。查明TLS連接的私有級是執(zhí)行工具
(implementation)的依靠,以及通過各自的本地(local)TLS執(zhí)行完成 。
假如客戶程序或者服務程序對于繼續(xù)的執(zhí)行判定驗證或者私有級還不夠高的級別,它應
該(SHOULD)大方地在TLS協商已經完成之后立即關閉TLS連接(參見4.1和5.2部分) 。
客戶程序可以(MAY)嘗試再次啟動TLS,或者可以(MAY)發(fā)送拆分(unbind)請求,
或者發(fā)送任何其他LDAP請求 。
3.5.客戶程序授權身份(Client"sAuthorizationIdentity)
的斷言
客戶程序可以(MAY)在表明成功的啟動TLS擴展回答到達時,斷言在判定客戶程序的授
權狀態(tài)中特定的授權身份被利用 ??蛻舫绦蛲ㄟ^LDAP綁定請求指定SASL[SASL]的"EXTERNAL"
機制來完成 。參見本文后面的5.1.2部分 。
3.6.服務程序身份檢查
客戶程序必須檢查針對存在于服務程序證書信息中的服務程序身份,以便理解服務程序
主機名,目的是為了阻止中間人攻擊(man-in-the-middleattacks) 。
匹配執(zhí)行按照下列規(guī)則:
-客戶程序必須(MUST)使用打開LDAP連接的那個服務程序主機名作為比較在服務程序
證書中表示的服務程序名 ??蛻舫绦蛞欢ú荒埽∕USTNOT)使用服務程序規(guī)范的DNS名字
或者任何其他導出的形式名字(formofname) 。
-假如類型dNSName的subjectAltName擴展出現在證書中,它應該被用于服務程序身份
的來源 。
-匹配是大小寫無關的(case-insensitive) 。
-通配符"*"是答應的 。假如存在,它僅適用于最左面名字的組成部分 。
例如*.bar.com將匹配a.bar.com,b.bar.com,等等 。但不能是bar.com 。假如存在證書
中的給定類型的身份超過一個(例如,多于一個的dNSName名字),在(身份名字)集合中任
何一個被考慮是可接受的 。
假如在上面每一個檢查規(guī)格中主機名沒有匹配基于dNSName(dNSName-based)的身份,
面向用戶的客戶程序應該或者通知用戶(不管怎么樣程序可以(MAY)提供給用戶一個機會是
否繼續(xù)連接)或者決定連接并且指示服務程序的身份是受懷疑的 。自動化的客戶程序應該
(SHOULD)關閉連接,返回和/或錯誤日志表明服務程序的身份是受懷疑的 。
超出這部分關于服務程序身份檢查的描述,客戶程序應該(SHOULD)預備進一步進行檢
查以確保服務程序對它提供的服務是被授權的 ??蛻舫绦蚩梢裕∕AY)(需要)使用本地策略
信息 。
3.7.服務程序能力信息的刷新
客戶程序必須(MUST)在TLS會話建立之上刷新任何緩存的服務程序能力的信息(例如,

推薦閱讀