來自服務(wù)程序根DSE；參見[LDAPv3]部分3.4） 。這是避免主動中間攻擊（active-intermediary
attacks）必要的，主動中間攻擊可以在早于TLS建立之前已經(jīng)改變?nèi)魏伪粰z索的服務(wù)程序能
力信息 。服務(wù)程序可以在TLS建立之后公告（advertise）不同的能力（信息） 。
4.關(guān)閉TLS連接
4.1.舒緩關(guān)閉（GracefulClosure）
或者客戶程序或者服務(wù)程序可以（MAY）通過發(fā)送一TLS關(guān)閉警告結(jié)束關(guān)于LDAP關(guān)聯(lián)的
TLS連接 。這將完整的離開LDAP關(guān)聯(lián) 。
在關(guān)閉TLS連接之前，客戶程序必須（MUST）或者等待任何未完成的LDAP操作直到完成，
或者明示地（explicitly）放棄它們[LDAPv3] 。
當(dāng)關(guān)閉的啟動程序（initiatorofaclose）已經(jīng)發(fā)送一關(guān)閉警告之后，它必須（MUST）
丟棄（discard）任何TLS報文直到它已經(jīng)接收到從另一方來的警告 。它將停止發(fā)送TLS記錄
協(xié)議（TLSRecordProtocol）PDUs，和隨著收到警告，可以（MAY）發(fā)送和接收LDAPPDUs 。
另一方，假如接收到關(guān)閉警告，必須（MUST）立即發(fā)送一TLS關(guān)閉警告 。它將隨后停止
發(fā)送TLS記錄協(xié)議PDUs，和可以（MAY）發(fā)送和接收LDAPPDUs 。
4.2.忽然停止（AbruptClosure）
或者客戶程序或者服務(wù)程序可以（MAY）忽然地關(guān)閉整個LDAP關(guān)聯(lián)和任何建立其上的TLS
連接，通過撤銷TCP連接 。服務(wù)程序在這種情況可以（MAY）預(yù)先預(yù)備好發(fā)送給客戶程序一斷
開連接通知（NoticeofDisconnection）[LDAPv3] 。
5.關(guān)于客戶程序的授權(quán)身份的TLS效應(yīng)
（Effects）
這部分描述關(guān)于通過在LDAP關(guān)聯(lián)之上建立TLS所帶來的客戶程序的授權(quán)身份的效應(yīng) 。首
先描述缺省效應(yīng)，接下來客戶程序的授權(quán)身份的斷言被討論，包括錯誤狀況 。最后，關(guān)閉TLS
連接的效應(yīng)被描述 。
授權(quán)身份和相關(guān)概念定義在[AuthMeth] 。
5.1.TLS連接建立效應(yīng)
5.1.1.缺省效應(yīng)
針對LDAP關(guān)聯(lián)的TLS連接建立之上，任何建立之前的驗證和授權(quán)身份必須（MUST）有效
遺留（remaininforce），包括匿名狀況 。這甚至在服務(wù)程序請求客戶程序通過TLS驗證請
求情況中保持——例如，請求客戶程序在TLS協(xié)商期間提供它的證書（參見[TLS]） 。
5.1.2.授權(quán)身份的客戶斷言
客戶程序可以（MAY）或者隱含來自它的已授權(quán)的TLS證實（authenticatedTLS
credentials）的LDAP授權(quán)身份，或者它可以（MAY）顯示地提供一授權(quán)身份并且它被用在與
它的已授權(quán)的TLS證實的結(jié)合 。前者稱為隱式斷言，后者稱為顯式斷言 。
5.1.2.1.隱式斷言（ImplicitAssertion）
隱式授權(quán)身份斷言在通過調(diào)用SASL形式的綁定請求的TLS建立之后完成，SASL形式的
綁定請求使用不應(yīng)該（SHALLNOT）包括可選證實的八位組（octet）字符串（在綁定請求的
SaslCredentials序列中發(fā)現(xiàn)）的"EXTERNAL"機制名字[SASL,LDAPv3] 。服務(wù)程序?qū)姆?br /> 本地策略的客戶程序證實（典型的公鑰證書）中提供的驗證標(biāo)識（authenticationidentity）
導(dǎo)出客戶程序的授權(quán)身份 。如何實現(xiàn)（上述斷言）由特定的工具做到 。
5.1.2.2.顯式斷言（ExplicitAssertion）
顯式授權(quán)身份斷言在通過調(diào)用SASL形式的綁定請求的TLS建立之后完成，SASL形式的
綁定請求使用應(yīng)該（SHALL）包括證實八位組（octet）字符串的"EXTERNAL"機制名字[SASL,
LDAPv3] 。字符串必須（MUST）作為[AuthMeth]部分9中的文檔的組成部分 。
5.1.2.3.錯誤狀況（ErrorConditions）
不管斷言的形式如何，服務(wù)程序必須（MUST）核實客戶程序的授權(quán)身份作為提供在它的
TLS證實中是答應(yīng)映射到斷言授權(quán)身份的 。服務(wù)程序必須（MUST）拒絕在綁定回答中以

推薦閱讀

• 

  姜子牙封神是為了什么，為何要在伐紂成功后封神
• 

  兒童阿甘鞋適合男孩還是女孩
• 

  b站契約者是什么意思
• 

  2008年北京奧運會是幾月幾日 2008年北京奧運會的時間
• 

  為什么紅火龍果比白火龍果甜
• 

  向前進是什么電視劇里的人物
• 

  蝦蛄豆腐的做法 蝦蛄豆腐怎么做好吃,
• 

  補水面膜敷多久效果好
• 

  短頭發(fā)適合穿什么衣服
• 

  易孕期容易懷孕嗎
• 

  廚房燈用多少瓦合適
• 

  煙臺萊山房價天悅灣,萊山房價值多少錢
• 

  馬的住所稱什么，虎的住處叫什么名稱
• 

  堅果微距隨拍
• 

  24小時在線客服，陌陌24小時在線客服
• 

  西鳳小酒?？诟性趺礃? 西鳳酒海小酒怎么樣

• DNS在操作系統(tǒng)中的簡單配置
• 鮮花簡筆畫 鮮花的簡單畫法
• 第一次接手NOKIA6300之后的簡單觀點
• 587光年是多少年
• 科學(xué)盆養(yǎng)黃粉蟲
• 干燒鯧魚怎么做好吃又簡單
• 在iphone里將內(nèi)存清掉簡單操作
• 如何查看小龍蝦幼苗
• 抗擊肺癌手抄報 抗擊肺癌手抄報簡單
• oppo R15進行截長圖簡單操作