ISO/IEC 9594-3:1990
(Main)Information technology - Open Systems Interconnection - The Directory - Part 3: Abstract service definition
Information technology - Open Systems Interconnection - The Directory - Part 3: Abstract service definition
Technologies de l'information — Interconnexion de systèmes ouverts — L'Annuaire — Partie 3: Définition du service abstrait
General Information
Relations
Frequently Asked Questions
ISO/IEC 9594-3:1990 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Open Systems Interconnection - The Directory - Part 3: Abstract service definition". This standard covers: Information technology - Open Systems Interconnection - The Directory - Part 3: Abstract service definition
Information technology - Open Systems Interconnection - The Directory - Part 3: Abstract service definition
ISO/IEC 9594-3:1990 is classified under the following ICS (International Classification for Standards) categories: 35.100.70 - Application layer. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 9594-3:1990 has the following relationships with other standards: It is inter standard links to ISO/IEC 9594-3:1990/Cor 1:1991, ISO/IEC 9594-3:1990/Cor 2:1992, ISO/IEC 9594-3:1990/Cor 3:1992, ISO/IEC 9594-3:1990/Cor 4:1993, ISO/IEC 9594-3:1995; is excused to ISO/IEC 9594-3:1990/Cor 3:1992, ISO/IEC 9594-3:1990/Cor 4:1993, ISO/IEC 9594-3:1990/Cor 2:1992, ISO/IEC 9594-3:1990/Cor 1:1991. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 9594-3:1990 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTER NATIONAL
ISOAEC
STANDARD
First edition
1990- 12- 1 5
a-
Information technology - Open Systems
- The Directory -
Interconnection
Part 3:
Abstract service definition
Technologies de finformation - Interconnexion de systèmes ouverts - L'annuaire -
Partie 3: Définition du service abstrait
Reference number
~ __ ~__ ~ ISO/IEC 9594-3 : 1990 (E)
ISO/IEC 9594-3 : 1990(E)
Contents
Page
...
Foreword . 111
Introduction . iv
SECTION 1 : GENERAL 1
1 Scope . 1
2 Normative references . 1
3 Definitions . 1
4 Abbreviations . 2
5 Conventions . 2
SECTION 2: ABSTRACT SERVICE 3
6 Overview of the Directory Service . 3
7 Information Types . 3
8 Bind and Unbind Operations . 8
9 Directory Read Operations . 9
10 Directory Search Operations . 10
11 Directory Modify Operations . 12
12 Errors . 15
Annex A - Abstract Service in ASN.l . 19
Annex B - Directory Object Identifiers . 26
O ISO/IEC 1990
All rights reserved. No part of this publication may be reproduced or utilized in any form or by
any means, electronic or mechanical, including photocopying arid microfilm, without permission
in writing from the publisher.
ISO/IEC Copyright Office Case postale 56 0 CH-121 1 Genève 20 Switzerland
Printed in Switzerland
ii
ISO/IEC 9594-3 : 1990 (E)
Foreword
IS0 (the International Organization for Standardization) and IEC (the International
Electrotechnical Commission) form the specialized system for worldwide standardiz-
ation. National bodies that are members of IS0 or IEC participate in the development
of International Standards through technical committees established by the respective
organization to deal with particular fields of technical activity. IS0 and IEC technical
committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with IS0 and IEC, also take part in the
work.
In the field of information technology, IS0 and IEC have established a joint technical
committee, ISO/IEC JTC 1. Draft International Standards adopted by the joint
technical committee are circulated to national bodies for voting. Publication as an
International Standard requires approval by at least 75 Vo of the national bodies casting
a vote.
International Standard ISO/IEC 9594-3 was prepared by Joint Technical Committee
ISO/IEC JTC 1, Information technology.
ISO/IEC 9594 consists of the following parts, under the general title Information
technology - Open Systems Interconnection - The Directory:
- Part I: Overview of concepts, models and services
- Part 2: Models
- Part 3: Abstract service definition
- Part 4: Procedures for distributed operation
- Part 5: Protocol specifications
- Part 6: Selected attribute types
- Part 7: Selected object classes
- Part 8: Authentication framework
Annexes A and B form an integral part of this part of ISOAEC 9594.
...
ISO/IEC 9594-3 : 1990(E)
Introduction
0.1 This part of ISO/IEC 9594, together with the other parts, has been produced to facilitate the interconnection of
information processing systems to provide directory services. The set of all such systems, together with the directory
information which they hold, can be viewed as an integrated whole, called the Directory. The information held by the
Directory, collectively known as the Directory Information Base (DIB), is typically used to facilitate communication between,
with or about objects such as application entities, people, terminals, and distribution lists.
0.2 The Directory plays a significant role in Open Systems Interconnection, whose aim is to allow, with a minimum of
technical agreement outside of the interconnection standards themselves, the interconnection of information processing
systems:
from different manufacturers;
under different managements;
of different levels of complexity; and
of different ages.
0.3 This part of ISODEC 9594 defines the capabilities provided by the Directory to its users.
0.4 Annex A provides the ASN.l module which contains all the definitions associated with the Abstract Service
ISOAEC 9594-3 : 1990 (E)
INTERNATIONAL STANDARD
Information technology - Open Systems Interconnection -
The Directory -
Part 3:
Abstract service definition
SECTION 1: GENERAL
ISOAEC 9594-4:1990, Information Technology - Open
1 Scope
Systems Interconnection - The
1.1 This part of ISO/IEC 9594 defines in an abstract way
Directory - Part 4: Procedures for
the externally visible service provided by the Directory.
Distributed Opera tion.
1.2 This part of ISO/IEC 9594 does not specify
ISO/IEC 9594-5: 1990, Information Technology - Open
individual implementations or products.
Systems Interconnection - The
Directory - Part 5: Protocol
*
Specifications.
2 Normative references
ISOAEC 9594-6: 1990, Information Technology - Open
The following standards contain provisions which, through
Systems Interconnection - The
reference in this text, constitute provisions of this part of
Directory - Part 6: Selected At-
ISO/IEC 9594. At the time of publication, the editions
tribute Types.
indicated were valid. All standards are subject to revision,
and parties to agreements based on this part of
ISO/IEC 9594-7: 1990, Information Technology - Open
ISO/IEC 9594 are encouraged to investigate the possibility
Systems Interconnection - The
of applying the most recent editions of the standards listed
Directory - Part 7: Selected Object
below. Members of IEC and IS0 maintain registers of
Classes.
currently valid International Standards.
ISO/IEC 9594-8:1990, Information Technology - Open
IS0 7498: 1984, Iiqormation Processing Systems -
Systems Interconnection - The
Open Systems Interconnection -
Directory - Part 8: Authentication
Basic Reference Model.
Framework.
ISO/IEC 8824: 1990, Information Technology - Open
ISO/IEC 10021-3: 1990, Information Technology - Text
Systems Interconnection -
Communication - Message
Specification of Abstract Syntax
Oriented Text Interchange System
8 Notation One (ASNJ).
(MOTIS) - Part 3: Abstract Service
Definition.
ISO/IEC 9072-1:1989, Information Processing Systems -
Text Communication - Remote
Operations - Part I: Model, Nota-
3 Definitions
tion and Service Definition.
3.1 Basic Directory Definitions
ISO/IEC 9072-2: 1989, In formation Processing Systems -
This part of ISOfiEC 9594 makes use of the following
Text Communication - Remote
terms defined in ISOfiEC 9594-1 :
Operations - Part 2: Protocol
Specification.
a) Directory;
b) Directory Information Base;
ISO/IEC 9594-1 : 1990, Information Technology - Open
Systems Interconnection - The
c) (Directory) User.
Directory - Part I: Overview of
Concepts, Models and Services.
3.2 Directory Model Definitions
ISO/IEC 9594-2: 1990, Information Technology - Open
This part of ISO/IEC 9594 makes use of the following
Systems Interconnection - The
terms defined in ISO/iEC 9594-2:
Directory - Part 2: Models.
a) Directory System Agent;
b) Directory User Agent.
ISODEC 9594-3 : 1990(E)
3.3 Directory Information Base Definitions 3.6 Distributed Operations Definitions
This part of ISO/IEC 9594 makes use of the following
This part of ISO/IEC 9594 makes use of the following
terms defined in ISO/IEC 9594-4:
terms defined in ISO/IEC 9594-2:
a) alias entry; a) chaining;
b) Directory Information Tree; b) referral.
c) (Directory) entry;
3.7 Abstract Service Definitions
d) immediate superior;
For the purpose of this part of ISO/IEC 9594 the following
e) immediately superior entry/object;
definitions apply:
f) object;
3.7.1 filter: An assertion about the presence or value of
certain attributes of an entry in order to limit the scope of a
g) object class;
search;
h) object entry;
3.7.2 service controls: Parameters conveyed as part of an
i) subordinate;
abstract-operation which constrain various aspects of its
j) superior.
performance.
3.4 Directory Entry Definitions 3.7.3 originator: The user that originated an operation.
This part of ISO/IEC 9594 makes use of the following
terms defined in ISO/IEC 9594-2:
4 Abbreviations
a) attribute;
This part of ISO/IEC 9594 makes use of the following
b) attribute type;
abbreviations:
c) attribute value;
AVA Attribute Value Assertion
d) attribute value assertion.
DIB Directory Information Base
DIT Directory Information Tree
3.5 Name Definitions
DSA Directory System Agent
This part of ISO/IEC 9594 makes use of the following
terms defined in ISO/IEC 9594-2:
DUA Directory User Agent
a) alias, alias name;
DMD Directory Management Domain
b) distinguished name;
RDN Relative Distinguished Name
c) (directory) name
d) purported name;
5 Conventions
e) relative distinguished name.
This part of ISO/IEC 9594 makes use of the abstract service
definition conventions defined in ISO/IEC 10021-3.
ISO/IEC 9594-3 : 1990 (E)
ION 2: ABSTRACT SERVICE
SEC'
The DUA consumes the services provided by the
Directory.
Overview of the Directory Service
The ports cited from 6.2 through 6.4 can be defined
6.1 As described in ISO/IEC 9594-2, the services of the 6.5
Directory are provided through access points to DUAs, as follows:
each acting on behalf of a user. These concepts are
readport
depicted in figure 1.
PORT
CONSUMER INVOKES I
Read, Compare, Abandon1
Access Point
::= id-pt-read
searchport
PORT
CONSUMER INVOKES I
List, Search)
::= id-pt-search
modifyport
PORT
{
CONSUMER INVOKES
AddEntry, RemoveEntry,
ModifyEntry, ModifyRDNl
Figure 1 -Access to the Directory
::= id-pt-modify
6.2 In principle, access points to the Directory may be of
6.6 The operations from the readport, searchport and
different types, providing different combinations of
the modifyport are defined in clauses 9, 10, and 11
services. It is valuable to consider the Directory as an
respectively.
object, supporting a number of types of port. Each port
defines a particular kind of interaction which the Directory
6.7 These ports are used only as a method of structuring
can participate in with a DUA. Each access point
the description of the Directory service. Conformance to
corresponds to a particular combination of port types.
Directory operations is specified in ISO/IEC 9594-5.
6.3 Using the notation defined in ISO/IEC 8505-3, the
Directory can be defined as follows:
7 Information Types
directory
$ OBJECT
7.1 Introduction
PORTS { readport [SI,
searchport IS].
- -,
7.1.1 This clause identifies, and in some cases defines, a
modifyport [SI)
number of information types which are subsequently used
--- .- id-ot-directory
in the definition of Directory operations. The information
The Directory supplies operations via: Read Ports, which
types concerned are those which are common to more than
support reading information from a particular named entry
one operation, are likely to be in the future, or which are
in the DIB; Search Ports, which allow more 'exploration' of
sufficiently complex or self-contained as to merit being
the DIB; and Modify Ports, which enable the modification
defined separately from the operation which uses them.
of entries in the DIB.
7.1.2 Several of the information types used in the
Note - It is intended that in the future there may be other types
definition of the Directory service are actually defined
of Directory port.
elsewhere. Subclause 7.2 identifies these types and
indicates the source of their definition. Each of the
6.4 Similarly, a DUA (from the viewpoint of the
remaining subclauses (7.3 through 7.1 1) identifies and
Directory) can be defined as follows:
defines an information type.
dua
OBJECT
PORTS { readport [CI,
searchport [CI,
modifyport ICI1
..-
..- id-ot-dua
ISO/IEC 9594-3 : 1990(E)
7.3.2.1 The ServiceControls component is specified in
7.2 Information Types Defined Elsewhere
7.5. Its absence is deemed equivalent to there being an
7.2.1 The following information types are defined in
empty set of controls.
ISO/IEC 9594-2:
7.3.2.2 The SecurityParameters component is
a) Attribute;
specified in 7.9. Its absence is deemed equivalent to there
b) AttributeType;
being an empty set of security parameters.
c) Attributevalue;
7.3.2.3 The requestor Distinguished Name identifies
d) AttributeValueAssertion;
the originator of a particular abstract-operation. It holds the
name of the user as identified at the time of binding to the
e) DistinguishedName;
Directory. It may be required when the request is to be
f) Name;
signed (see 7. lo), and shall hold the name of the user who
initiated the request.
g) RelativeDistinguishedName.
7.3.2.4 The OperationProgress defines the role that
The following information type is defined in
7.2.2
the DSA is to play in the distributed evaluation of the
ISODEC 9594-6:
request. It is more fully defined in ISODEC 9594-4.
a) PresentationAddress.
7.3.2.5 The aliasedRDNs component indicates to the
7.2.3 The following information types are defined in DSA that the object component of the operation was
ISO/IEC 9594-8: created by the dereferencing of an alias on an earlier
operation attempt. The integer value indicates the number
a) Certificate;
of RDNs in the object that came from dereferencing the
alias. (The value would have been set in the referral
b) SIGNED;
response of the previous operation.)
c) CertificationPath.
The following information types are defined in IS0 7.3.2.6 The extensions component provides a
7.2.4
9072- 1 : mechanism to express standardized extensions to the form
of the argument of a Directory abstract-operation.
a) InvokeID.
Note - The form of the result of such ail extended abstract-
7.2.5 The following information types are defined in IS0
operation is identical to that of the non-extended version.
9594-4:
(Nonetheless, the result of a particular extended abstract-
a) OperationProgress; operation may differ from its non-extended counterpart).
b) ContinuationReference.
The subcomponents are as defined in 7.3.2.6.1 through
7.3.2.6.3.
7.3 Common Arguments
7.3.2.6.1 The identifier serves to identify a particular
7.3.1 The CommonArguments information may be
extension. Values of this component shall be assigned only
present to qualify the invocation of each operation that the
by future versions of ISODEC 9594.
Directory can perform.
CommonArguments ::= SET { 7.3.2.6.2 The critical subcomponent allows the originator
[301 ServiceControls DEFAULT O, of the extended abstract-operation to indicate that the
I291 SecurityParameters DEFAULT O,
performance of only the extended form of the abstract-
requestor [281 DistinguishedName
operation is acceptable (i.e. that the non-extended form is
OPTIONAL,
not acceptable). In this case the extensions is a critical
[271 OperationProgress DEFAULT InotStartedl,
extension. If the Directory, or some part of it, is unable to
a I iase dR D Ns 1261 INTEGER O PTiO NAL ,
perform a critical extension it returns an indication of
extensions 1251 SET OF Extension
unavailableCriticalExtension (as a serviceError or
OPTIONAL }
PartialOutcomeQualifier). If the Directory is unable to
Extension ::= SET(
perform an extension which is not critical, it ignores the
Identifier I01 INTEGER,
presence of the extension.
critical (11 BOOLEAN DEFAULT FALSE,
item I21 ANY DEFINED BY Identifier)
7.3.2.6.3 The item subcomponent provides the
information needed for the Directory to perform the
extended form of the abstract-operation.
7.3.2 The various components have the meanings as
defined in 7.3.2.1 through 7.3.2.4.
ISO/IFX 9594-3 : 1990 (E)
7.5.2.1 The options component contains a number of
7.4 Common Results
indications, each of which, if set, asserts the condition
7.4.1 The CommonResults information should be
suggested. Thus:
present to qualify the result of each retrieval operation that
preferchaining indicates that the preference is that
the Directory can perform.
chaining, rather than referrals, be used to provide
the service. The Directory is not obliged to follow
CommonResults ::= SET {
this preference;
[301 SecurityParameters OPTIONAL,
performer [291 DistinguishedName OPTIONAL,
chainingprohibited indicates that chaining, and
aliasDereferenced [281 BOOLEAN DEFAULT FALSE}
other methods of distributing the request around the
7.4.2 The various components have the meanings as Directory, are prohibited;
defined in 7.4.2.1 through 7.4.2.3.
localScope indicates that the operation is to be
limited to a local scope . The definition of this
7.4.2.1 The SecurityParameters component is
option is itself a local matter, for example, within a
specified in 7.9. Its absence is deemed equivalent to there
single DSA or a single DMD;
being an empty set of security parameters.
dontUseCopy indicates that copied information (as
defined in ISO/IEC 9594-4 shall not be used to
7.4.2.2 The performer Distinguished Name identifies
the performer of a particular operation. It may be required provide the service;
when the result is to be signed (see 7.10) and shall hold the
dontDereferenceAliases indicates that any alias
name of the DSA which signed the result.
used to identify the entry affected by an operation is
not to be dereferenced.
7.4.2.3 The aliasDereferenced component is set to
Note - This is necessary to allow reference to an alias
TRUE when the purported name of an object or base object
entry itself rather than the aliased entry, e.g., in order to
which is the target of the operation included an alias which
read the alias entry.
was dereferenced.
If this component is omitted, the following are assumed:
7.5 Service Controls no preference for chaining but chaining not prohibited, no
limit on the scope of the operation, use of copy permitted,
7.5.1 A ServiceControls parameter contains the
and aliases shall be dereferenced (except for modify
controls, if any, that are to direct or constrain the provision
operations where aliases shall never be dereferenced).
of the service.
7.5.2.2 The priority (low, medium or high) at which the ser-
ServiceControls -- SET {
vice is to be provided. Note that this is not a guaranteed ser-
options [O] BIT’GRING {
vice in that the Directory, as a whole, does not implement
preferChaining(O),
queuing. There is no relationship implied with the use of
chainingprohibited (l),
‘priorities’ in underlying layers.
localScope (2),
dontUseCopy (3),
dontDereferenceAliases(4)l
7.5.2.3 The tirneLimit indicates the maximum elapsed
DEFAULT {I,
time, in seconds, within which the service shall be
provided. If the constraint cannot be met, an error is
priority [ll INTEGER {
reported. If this component is omitted, no time limit is
low (01,
medium (l), implied. In the case of time limit exceeded on a List or
high (2) 1 DEFAULT medium,
Search, the result is an arbitrary selection of the
accumulated results.
timelimit [21 INTEGER OPTIONAL,
sizeLimit [31 INTEGER OPTIONAL,
Note -- This component does not imply the length of time
spent processing the request during the elapsed time: any
number of DSAs may be involved in processing the request
scopeOfReferral [41 INTEGER1
during the elapsed time.
dmd(O),
country(1))
OPTIONAL j
7.5.2.4 The sizeLimit is only applicable to List and
Search operations. It indicates the maximum number of
7.5.2 The various components have the meanings as
objects to be returned. In the case of size limit exceeded,
defined in 7.5.2.1 through 7.5.2.5.
the results of List and Search may be an arbitrary selection
of the accumulated results, equal in number to the size
limit. Any further results shall be discarded.
7.5.2.5 The scopeOfReferral indicates the scope to
which a referral returned by a DSA should be relevant.
Depending on whether the values dmd or country are
ISO/IEC 9594-3 : 1990(E)
selected, only referrals to other DSAs within the selected
7.7 Entry Information
scope shall be returned. This applies to the referrals in both
7.7.1 An Entrylnformation parameter conveys selected
a Referral error and the unexplored parameter of List and
information from an entry.
Search results.
Entrylnformation ::= SEQUENCE I
7.5.3 Certain combinations of priority, tirneLimit, and
DisiinguishedName,
sizeLimit may result in conflicts. For example, a short
fromEntry BOOLEAN DEFAULT TRUE,
time limit could conflict with low priority; a high size limit
SET OF CHOICE {
could conflict with a low time limit, etc.
AttributeType,
I OPTIONAL 1
Attribute
7.6 Entry Information Selection
7.7.2 The DistinguishedName of the entry is always
7.6.1 An En try Information Select ion parameter
included.
indicates what information is being requested from an
entry in a retrieval service.
7.7.3 The fromEntry parameter indicates whether
the information was obtained from the entry (TRUE) or a
EntrylnformationSelection::= SET{
copy of the entry (FALSE).
aiiri buteTypes
CHOICE {
7.7.4 A set of AttributeTypesor Attributes are included,
allAttributes 101 NULL,
select 111 SET OF AttributeType if relevant, each of which may be alone or accompanied by
-_ empty set implies no attributes
one or more attribute values.
-- are requested - - I
DEFAULT allAttributes NULL,
7.8 Filter
infoTypes 121 INTEGER {
7.8.1 A Filter parameter applies a test that is either
attributeTypesOnly (O),
satisfied or not by a particular entry. The filter is expressed
attributeTypesAndVaIues (1) I
in terms of assertions about the presence or value of
DEFAULT attributeTypesAndValues 1
certain attributes of the entry, and is satisfied if and only if
it evaluates to TRUE.
7.6.2 The various components have the meanings as
defined in 7.6.2.1 and 7.6.2.2.
Note - A Filter may beTRUE, FALSE or undefined.
7.6.2.1 The attributeTypes component specifies the
Filter ::= CHOICE{
set of attributes about which information is requested:
item [O] Filterltem,
If the select option is chosen, then the attributes and [ll SET OF Filter,
a)
or [21 SETOF Filter,
involved are listed. If the list is empty, then no
not [31 Filter I
attributes shall be returned. Information about a
selected attribute shall be returned if the attribute is
Filterltem ::= CHOICE I
present. An attributeError with the
equality [O1 AttributeValueAssertion,
noSuchAttribute problem shall only be returned if substrings [ll SEQUENCE{
type AttributeType,
none of the attributes selected is present.
strings SEQUENCE OF CHOICE I
b) If the allAttributes option is selected, then
initial [O1 Attributevalue,
information is requested about all attributes in the
any [ll Attributevalue,
entry.
final [21
AttributeValuell,
[21 AttributeValueAssertion,
greaterOrEqual
Attribute information is only returned if access rights are
IessOrEqual 131 AttributeValueAssertion,
sufficient. A securityError (with an
present I41 AttributeType,
insuff icientAccessRights problem) shall only be returned
approximateMatch [51 AttributeVaIueAssertionl
in the case where access rights preclude the reading of all
attribute values requested.
7.8.2 A Filter is either a Filterltem (see 7.8.3), or an
expression involving simpler Filters composed together
7.6.2.2 The infoTypes component specifies whether
using the logical operators and, or, and not. The Filter is
both attribute type and attribute value information (the
undefined if it is a Filterltem which is undefined, or if it
default) or attribute type information only is requested. If
involves one or more simpler Filters, all of which are
the attributeTypes component (7.6.2.1) is such as to
undefined. Otherwise, where the Filter is:
request no attributes, then this component is not
meaningful.
a) an item, it is TRUE if and only if the corresponding
Filterltem is TRUE;
b) an and, it is TRUE unless any of the nested Filters is
FALSE.
ISO/IEC 9594-3 : 1990 (E)
Note - thus, if there are no nested Filters the and
algorithm) places the supplied value after or equal
evaluates to TRUE;
to any value of the attribute;
an or, it is FALSE unless any of the nested Filters is
c)
present, it is TRUE if and only if such an attribute
e)
TRUE.
is present in the entry;
Note - thus, if there are no nested Filters the or evaluates
approximateMatch, it is TRUE if and only if there
f)
to FALSE
is a value of the attribute which matches that which
is asserted by some locally-defined approximate
d) a not, it is TRUE if and only if the nested Filter is
FALSE. matching algorithm (e.g., spelling variations,
phonetic match, etc). There are no specific
guidelines for approximate matching in this version
7.8.3 A Filterltem is an assertion about the presence or
If approximate
of this part of ISO/IEC 9594.
value(s) of an attribute of a particular type in the entry
matching is not supported, this FilterItem should be
under test. Each such assertion is TRUE, FALSE, or
treated as a match for equality.
undefined.
7.8.3.1 Every Filterltem includes an AttributeType
7.9 Security Parameters
which identifies the particular attribute concerned.
7.9.1 The SecurityParameterç govern the operation of
various security features associated with a Directory
7.8.3.2 Any assertion about the value of such an
operation.
attribute is only defined if the AttributeType is known,
and the purported Attributevalue( s) conforms to the
Note - These parameters are conveyed from sender to recipient.
attribute syntax defined for that attribute type.
Where the parameters appear in the argument of an abstract-
operation the requestor is the sender, and the performer is the
Notes
recipient. In a result, the roles are reversed.
1. Where these conditions are not met, the Filterltem is
undefined.
SecurityParameters::= SET {
2. Access control restrictions may require that the Filterltem certification-path [O] CertificationPath OPTIONAL,
be considered undefined. name Ill DistinguishedName OPTIONAL,
time I21 UTCTime OPTIONAL,
7.8.3.3 Assertions about the value of an attribute are
randomRI BIT STRING OPTIONAL,
evaluated using the matching rules associated with the
target [41 ProtectionRequest OPTIONAL }
attribute syntax defined for that attribute type. A matching
rule not defined for a particular attribute syntax cannot be
ProtectionRequest ::= INTEGER 1 none(O),
used to make assertions about that attribute.
signed (1))
Note - Where this condition is not met, thc Filterltem is
7.9.2 The various components have the meanings as
undcfined.
defined in 7.9.2.1 through 7.9.2.5.
7.8.3.4 A Filterltem may be undefined (as described in
7.9.2.1 The CertificationPath component consists of
7.8.2-3 above). Otherwise, where the Filterltem asserts:
the sender's certificate, and, optionally, a sequence of
equality, it is TRUE if and only if there is a value of
certificate pairs. The certificate is used to associate the
the attribute which is equal to that asserted;
sender's public key and distinguished name, and may be
used to verify the signature on the argument or result. This
substrings, it is TRUE if and only if there is a value
parameter shall be present if the argument or result is
of the attribute in which the specified substrings
signed. The sequence of certification pairs consists of
appear in the given order. The substrings shall be
certification authority cross certificates. It is used to enable
non-overlapping, and may (but need not) be
the sender's certificate to be validated. It is not required if
separated from the ends of the attribute value and
the recipient shares the same certification authority as the
from one another by zero or more string elements.
sender. If the recipient requires a valid set of certificate
If initial is present, the substring shall match the
pairs, and this parameter is not present, whether the
initial substring of the attribute value; if final is
recipient rejects the signature on the argument or result, or
present, the substring shall match the final substring
attempts to generate the certification path, is a local matter.
of the attribute value; if any is present, the substring
may match any substring in the attribute value.
7.9.2.2 The name is the distinguished name of the first
intended recipient of the argument or result. For example,
greaterOrEqual, it is T R U E if and only if the
if a DUA generates a signed argument, the name is the
relative ordering (as defined by the appropriate
distinguished name of the DSA to which the operation is
ordering algorithm) places the supplied value before
submitted.
or equal to any value of the attribute;
IessOrEqual, it is TRUE if and only if the relative
7.9.2.3 The time is the intended expiry time for the
ordering (as defined by the appropriate ordering
validity of the signature, when signed arguments are used.
ISO/IEC 9594-3 : 1990(E)
Credentials ::= CHOICE {
It is used in conjunction with the random number to enable
simple [O1 SimpleCredentials,
the detection of replay attacks.
strong ill StrongCredentials,
external Procedure 121 EXTERNAL]
7.9.2.4 The random number is a number which
should be different for each unexpired token. It is used in Simplecredentials ::= SEQUENCE{
name [O] DistinguishedName,
conjunction with the time parameter to enable the
validity ill SET{
detection of replay attacks when the argument or result has
time1 [O1 UTCTime OPTIONAL,
been signed.
time2 111 UTCTime OPTIONAL,
random1 121 BIT STRING OPTIONAL,
7.9.2.5 The target ProtectionRequest may appear only in
random2 t31 BIT STRING OPTIONAL1
the request for an operation to be carried out, and indicates
OPTIONAL,
the requestor’s preference regarding the degree of protection
- - in most instances the arguments for
to be provided to the result. Two levels are provided: none
- - time and random are relevant in
(no protection requested, the default), and signed (the Direc-
- - dialogues employing protected
tory is requested to sign the result). The degree of protection - - password mechanisms and derive
actually provided to the result is indicated by the form of - -their meaning as per bilateral
- - agreement
result and may be equal to or lower than that requested, based
password 121 OCTET STRING OPTIONAL)
on the limitations of the Directory.
- -the value would be an unprotected
- - password, or Protected1 or Protected2
7.10 OPTIONALLY-SIGNED - - as specified in ISO/IEC 9594-8
Strongcredentials ::= SET {
7.10.1 An OPTIONALLY-SIGNED information type is one
[O] CertificationPath
certification-path
whose values may, at the option of the generator, be
OPTIONAL,
accompanied by their digital signature. This capability is
bind-token [ll Token1
specified by means of the following macro:
Token ::= SIGNED SEQUENCE I
OPTIONALLY-SIGNED MACRO ::= algorithm [O1 Algorithmldentifier,
BEGIN name 111 DistinguishedName,
time [21 UTCTime,
TYPE NOTATION ::=type (Type) random [31 BIT STRING I
VALUE NOTATION ::=value (VALUE
Versions ::= BIT STRING {v1988(0)1
CHOICE{ Type, SIGNED Type))
DirectoryBindResult ::= DirectoryBindArgument
END
DirectoryBindError ::= SET {
7.10.2 The SIGNED macro, which describes the form of
versions [O1 Versions DEFAULT (~19881,
the signed form of the information, is specified in CHOICE {
serviceError ill
ISO/IEC 9594-8.
ServiceProblem,
securityError 121 SecurityProblem II
8.1.2 The various arguments are defined in 8.1.2.1 and
8.1.2.2.
8 Bind and Unbind Operations
The DirectoryBind and DirectoryUnbind operations, defined
8.1.2.1 The C r e d e n t i a I s of the
in 8.1 and 8.2 respectively, are used by the DUA at the
DirectoryBindArgument allow the Directory to establish
beginning and end of a particular period of accessing the
the identity of the user. They may be either simple, or
Directory.
strong or externally defined (external Procedure)(as
described in ISODEC 9594-81.
8.1 Directory Bind
8.1.2.1.1 SimpleCredentials consist of a name (always
A DirectoryBind operation is used at the beginning
8.1.1
the distinguished name of an object) and (optionally) a
of a period of accessing the Directory.
password. This provides a limited degree of security. If
the password is protected as described in clause 5 of
DirectoryBind ::= ABSTRACT-BIND
ISODEC 9594-8, then SimpleCredentials includes name,
TO I readport, searchport, modifyport I
password, and (optionally) time and/or random numbers
BIND
which are used to detect replay. In some instances a
ARGUMENT DirectoryBindArgument
protected password may be checked by an object which
RESULT DirectoryBindResult
knows the password only after locally regenerating the
BIND-ERROR DirectoryBindError
protection to its own copy of the password and comparing
DirectoryBindArgument ::= SET {
the result with the value in the bind argument (password).
credentials [O] Credentials OPTIONAL,
In other instances a direct comparison may be possible.
versions 111 Versions DEFAULT Ivl98811
ISO/IEC 9594-3 : 1990 (E)
8.1.2.1.2 Strongcredentials consist of a bind token, securityError inappropriateAuthentication
invalidcredentials
and, optionally, a certificate and sequence of certification-
authority cross-certificate (as defined in ISO/IEC 9594-8).
serviceError unavailable
This enables the Directory to authenticate the identity of
the requestor establishing the association, and vice versa.
8.2 Directory Unbind
The arguments of the bind token are used as follows.
8.2.1 A DirectoryUnbind operation is used at the end of a
algorithm is the identifier of the algorithm employed to
period of accessing the Directory.
sign this information. name is the name of the intended
DirectoryUnbind ::= ABSTRACT-UNBIND
recipient. The time parameter contains the expiry time of
FROM {readport, searchport, modiiyPort 1
the token. The random number is a number which should
be different for each unexpired token, and may be used by
8.2.2 The DirectoryUnbind has no arguments.
the recipient to detect replay attacks.
8.1.2.1.3 If externalProcedure is used, then the semantics
9 Directory Read Operations
of the authentication scheme being used is outside the
scope of the Directory document.
There are two 'read-like' operations: Read and Compare,
defined in 9.1 and 9.2, respectively. The Abandon
8.1.2.2 The Versions argument of the
operation, defined in 9.3, is grouped with the Read
DirectoryBindArgument identifies the versions of the
operations for convenience.
service which the DUA is prepared to participate in. For
this version of the protocol the value shall be set to
9.1 Read
v1988(0).
9.1.1 A Read operation is used to extract information
from an explicitly identified entry. It may also be used to
8.1.2.3 Migration to future versions of the Directory
verify a distinguished name. The arguments of the
should be facilitated by:
operation may optionally be signed (see 7.10) by the
a) Any elements of DirectoryBindArgument other
requestor. If so requested, the Directory may sign the
than those defined in this part of ISO/IEC 9594
result.
shall be accepted and ignored.
Read ::= ABSTRACT-OPERATION
b) Additional options for named bits of
ARGUMENT ReadArgument
Director y B i n d Ar g u ment (e.g., Versions) not
RESULT ReadResult
defined shall be accepted and ignored.
ERRORS I AttributeError, NameError,
SenriceError, Referral, Abandoned,
8.1.3 Should the bind request succeed, a result shall be
SecurityError 1
returned. The result parameters have the meanings as
ReadArgument ::= OPTIONALLY-SIGNED SET{
defined in 8.1.3.1 and 8.1.3.2.
object [O1 Name,
selection [ll EntrylnformationSelection
8.1.3.1 The Credentials of the DirectoryBindResult
DEFAULT { 1,
allow the user to establish the identity of the Directory.
COMPONENTS OF CommonArguments 1
They allow information identifying the DSA (that is
ReadResult ::= OPTIONALLY-SIGNED SET {
directly providing the Directory service) to be conveyed to
entry [O1 Entryinformation,
the DUA. They shall be of the same form (i.e.,CHOICE) as
COMPONENTS OF CommonResults 1
those supplied by the user.
9.1.2 The various arguments have the meanings as
8.1.3.2 The Versions parameter of the
defined in 9.1.2.1-3.
DirectoryBindResult indicates which of the versions of the
service requested by the DUA is actually going to be
9.1.2.1 The object argument identifies the object entry
provided by the DSA.
from which information is requested. Should the Name
involve one or more aliases, they are dereferenced (unless
8.1.4 Should the bind request fail, a bind error shall be
this is prohibited by the relevant service controls).
returned as defined in 8.1.4.1 and 8.1.4.2.
9.1.2.2 The selection argument indicates what
8.1.4.1 The Versions parameter of the
information from the entry is requested (see 7.6).
DirectoryBindError indicates which versions are supported
by the DSA.
9.1.2.3 The CommonArguments (see 7.3) include a
specification of the service controls applying to the
8.1.4.2 A securityError or serviceError shall be
request. For the purposes of this operation the sizeLimit
supplied as follows:
component is not relevant and is ignored if provided.
ISO/IEC 9594-3 : 1990(E)
9.1.3 Should the request succeed, the resuit shall be 9.2.3.1 The DistinguishedName is present if an alias
returned. The result parameters have the meanings as was dereferenced, and represents the distinguished name
defined in 9.1.3.1-2 and 7.4. of the object itself.
9.1.3.1 The entry result parameter holds the requested 9.2.3.2 The matched result parameter, holds the result
information (see 7.7). of the comparison. The parameter takes the value TRUE if
the values were compared and matched, and FALSE if they
did not.
9.1.4 Should the request fail, one of the listed errors
shall be reported. If none of the attributes explicitly listed
in selection can be returned, then an AttributeError with 9.2.3.3 If fromEntry is TRUE the information was
problem noSuchAttribute shall be reported. The compared against the entry; if FALSE the information was
circumstances under which other errors shall be reported compared against a copy.
are defined in clause 12.
9.2.4 Should the request fail, one of the listed errors
9.2 Compare
shall be reported. The circumstances under which the
particular errors shall be reported are defined in clause 12.
9.2.1 A Compare operation is used to compare a value
(which is supplied as an argument of the request) with the
value(s) of a particular attribute type in a particular object
9.3 Abandon
entry. The arguments of the operation may optionally be
9.3.1 Operations that interrogate the Directory may be
signed (see 7.10) by the requestor. If so requested, the
abandoned using the Abandon operation if the user is no
Directory may sign the result.
longer interested in the result.
Compare ::= ABSTRACT-OPERATION
Abandon ::= ABSTRACT-OPERATION
ARGUMENT CompareArgument
ARGUMENT AbandonArgument
RESULT CompareResult
RESULT AbandonResult
ERRORS AttributeError, NameError,
ERRORS {AbandonFailedl
ServiceError, Referral, Abandoned,
SecurityError I
AbandonArgument ::= SEQUENCE {
CompareArgument := OPTIONALLY-SIGNED SET {
invokelD [O1 InvokelDl
object [O1 Name,
purported 111 AttributeValueAssertion,
AbandonResult ::= NULL
COMPONENTS OF CommonArguments 1
9.3.2 There is a single argument, the invokelD which
CompareResult --- OPTIONALLY-SIGNED SET {
identifies the operation that is to be abandoned. The value
DistinguishedNgme OPTIONAL,
matched [O1 BOOLEAN, of the invokeID is the same invokeID which was used to
fromEntry 111 BOOLEAN DEFAULT TRUE,
invoke the operation which is to be abandoned.
COMPONENTS OF CommonResults I
9.3.3 Should the request succeed, a result shall be
9.2.2 The various arguments have the meanings as
returned, although no information shall be conveyed with
defined in 9.2.2.1 through 9.2.2.3.
it. The original operation shall fail with an Abandoned
error.
9.2.2.1 The object argument is the name the particular
object entry concerned. Should the Name involve one or
9.3.4. Should the request fail, the AbandonFaiIed error
more aliases, they are dereferenced (unless prohibited by
shall be reported. This error is described in 12.3.
the relevant service control).
9.3.5 Abandon is only applicable to interrogation
9.2.2.2 The purported argument identifies the attribute
operations, i.e., Read, Compare, List, and Search.
type and the value to be compared with that in the entry.
9.3.6 A DSA may abandon an operation locally. If the DSA
9.2.2.3 The CommonArguments (see 7.3) specify the
has chained or multicasted the operation to other DSAs, it
service controls applying to the request. For the purposes may in turn request them to abandon the operation. A DSA
of this operation the sizeLimit component is not relevant may choose not to abandon the operation and shall then
and is ignored, if provided. return the AbandonFailed error.
9.2.3 Should the request succeed (i.e., the comparison is
actually carried out), the result shall be returned. The result
10 Directory Search Operations
parameters have the meanings as described in 9.2.3.1
through 9.2.3.4 and 7.4.
There are two 'search-like' operations: List and Search,
defined in 10.1 and 10.2 respectively.
ISO/IEC 9594-3 : 1990 (E)
10.1 List
10.1.3.2 The subordinates parameter conveys the '
information on the immediate subordinates, if any, of the
10.1.1 A List operation is used to obtain a list of the named entry. Should any of the subordinate entries be
immediate subordinates of an explicitly identified entry. aliases, they shall not be dereferenced.
Under some circumstances, the list returned may be
incomplete. The arguments of the operation may
10.1.3.2.1 The RelativeDistinguishedName is that of the
optionally be signed (see 7.10) by the requestor. If so
subordinate.
requested, the Directory may sign the result.
10.1.3.2.2 The fromEntry parameter indicates whether the
List ::= ABSTRACT-OPERATION
information was obtained from the entry (TRUE) or a
ARGUMENT ListArgument
copy of the entry (False).
RESULT ListResult
ERRORS { NameError, ServiceError, Referral,
10.1.3.2.3 The aliasEntry parameter indicates whether the
Abandoned, SecurityError I
subordinate entry is an alias entry (TRUE) or not (FALSQ.
ListArgument ::= OPTIONALLY-SIGNED SET {
object [O1 Name,
10.1.3.3 The PartialOutcomeQualifier consists of three
COMPONENTS OF CommonArguments 1
subcomponents as defined in 10.1.3.3.1 through 10.1.3.3.3.
This parameter shall be present whenever the res
...
ISO/CEI
NORME
I NTE R NATIONALE
9594-3
Première édition
1990-12-15
Technologies de l’information - Interconnexion
de systèmes ouverts - L’Annuaire -
Partie 3:
Définition du service abstrait
information technology - Open Systems lnterconnection - The
Directory -
Part 3: Abstract service definition
Numéro de référence
ISOlCEl 9594-3: 1990( F)
iSO/CEi 9594-3 : 1990 (FI
*
O ISO/CEI 1990
Droits de reprodudion réservés. Aucune partie de cette publication ne peut être reproduite ni utilis6e
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la
photocopie et les microfilms, sans raccord écrit de l'éditeur.
ISO/CEI Copyright Office 0 Case postale 56 0 CH 1211 Genève 20 Suisse
Version française tirée en 1991
Imprimé en Suisse
ii
ISO/CEI 9594-3 : 1990 (F)
Somma ire
Page
Avant-propos . iv
Introduction v
..........................................................................................................................................
Section 1 : Généralités
1 Domaine d'application . i
2 Références normatives 1
................................................................................................................
3 Définit ions 2
.....................................................................................................................................
4 Abréviations 2
..................................................................................................................................
5 Conventions . 3
Section 2 : Service abstrait
6 Aperçu général du service d'Annuaire . 3
7 Types d'informations . 4
8 Opérations Bind et Unbind . 9
9 Opérations Read . 10
10 Opérations Search 12
........................................................................................................................
11 Opérations Modify . 14
12 Erreurs . 16
Annexe A - Service abstrait en ASN.1 . 20
Annexe B - Identificateurs d'objet . 27
iii
ISO/CEI 9594-3 : 1990 (F)
Avant-propos
LWO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à
la normalisation internationale considérée comme un tout. Les organismes
nationaux membres de I'ISO ou de la CE1 participent au développement de
Normes internationales par l'intermédiaire des comités techniques créés
par l'organisation concernée afin de s'occuper des différents domaines par-
ticuliers de l'activité technique. Les comités techniques de I'ISO et de la CE1
collaborent dans les domaines d'intérêt commun. D'autres organisations
internationales, gouvernementales ou non gouvernementales, en liaison
avec I'ISO et la CE1 participent également aux travaux.
Dans le domaine des technologies de l'information, I'ISO et la CE1 ont créé
un comité technique mixte, I'ISOKEI JTC 1. Les projets de Normes interna-
tionales adoptés par le comité technique mixte sont soumis aux organismes
nationaux pour approbation, avant leur acceptation comme Normes inter-
nationales. Les Normes internationales sont approuvées conformément aux
procédures qui requièrent l'approbation de 75 % au moins des organismes
nationaux votants.
La Norme internationale ISOKEI 9594-3 a été élaborée par le comité techni-
que mixte ISO/CEI JTC 1, Technologies de l'information.
Sous le titre général Technologies de l'information -Interconnexion de sys-
tèmes ouverts - l'Annuaire, I'ISO/CEI 9594 est composée des parties sui-
vantes :
- Partie 7 :Aperçu général des concepts, modèles et services
- Partie 2 : Modèles
- Partie 3 : Définition de service abstrait
- Partie 4 : Procédures d'exploitation répartie
- Partie 5: Spécifications de protocoles
- Partie 6: Types d'attribut sélectionnés
- Partie 7 : Classes d'objet sélectionnées
- Partie 8: Cadre général d'authentification
Les annexeSA et B de la présente partie de I'ISO/CEI 9594 sont normatives.
iv
ISO/CEI 9594-3 : 1990 (F)
Introduction
0.1 La présente partie de I‘ISO/CEI 9594, ainsi que les autres parties, ont été élaborées pour faciliter I’inter-
connexion de systèmes de traitement de l‘information pour fournir des services d’Annuaire. L‘ensemble de
ces systèmes, ainsi que les informations d‘Annuaire qu‘ils détiennent, peuvent être considérés comme un
tout intégré, appelé l’«Annuaire)>. Les informations détenues par l’Annuaire, appelées Base d‘informations
d‘Annuaire (DIB), sont généralement utilisées pour faciliter la communication entre, avec ou sur des objets
tels que entités d’application, individus, terminaux, listes de diffusion.
I)
0.2 L‘Annuaire joue un rôle important dans l’interconnexion de systèmes ouverts, dont le but est de per-
mettre, moyennant un minimum d’accords techniques en dehors des normes d’interconnexion propre-
ment dites, l’interconnexion de systèmes de traitement de l’information :
provenant de divers fabricants ;
gérés différemment ;
de niveaux de complexité différents ; et
d’âges différents.
0.3 La présente partie de I’ISO/CEI 9594 définit les capacités fournies par l’Annuaire à ses utilisateurs.
0.4 L’annexe A donne le module ASN.l contenant toutes les définitions relatives au service abstrait.
c
V
NORME INTERNATIONALE
ISO/CEI 9594-3 : 1990 (FI
Technologies de l’information - Interconnexion de
systèmes ouverts - l‘Annuaire
Partie 3 :
Définition de service abstrait
Section 1 : Généralités
ISO/CEI 9072-2: 1989, Systèmes de traitement
1 Domaine d‘application
de l’information - Com-
munication de texte -
1.1 La présente partie de I’ISO/CEI 9594 définit
Opérations distantes -
d’une façon abstraite le service, visible de I’exté-
Partie 2 : Spécification du
rieur, fourni par l’Annuaire.
protocole.
ISO/CEI 9594-1:1990, Technologies de I’informa-
1.2 La présente partie de I‘ISO/CEI 9594 ne spé-
cifie ni mises en œuvre ni produits. tion - Interconnexion de
systèmes ouverts - L ’An-
nuaire - Partie 1 : Aperçu
2 Références normatives général des concepts,
modèles et services.
Les normes suivantes contiennent des disposi-
ISO/CEI 9594-2:1990, Technologies de I’infor-
tions qui, par suite de la référence qui en est
mation - Interconnexion
faite, constituent des dispositions valables pour
de systèmes ouverts -
la présente partie de I’ISO/CEI 9594. Au moment
L‘Annuaire - Partie 2 :
de la publication, les éditions indiquées étaient
Modèles.
en vigueur. Toute norme est sujette à révision et
les parties prenantes des accords fondés sur la
ISO/CEI 9594-4: 1990, Technologies de I’infor-
présente partie de I‘ISO/CEI 9594 sont invitées à
mation - Interconnexion
rechercher la possibilité d’appliquer les éditions
de systèmes ouverts -
les plus récentes des normes indiquées ci-après.
L’Annuaire - Partie 4 :
Les membres de la CE1 et de I‘ISO possèdent le
Procédures d‘exploitation
registre des Normes internationales en vigueur à
répartie.
un moment donné.
ISO/CEI 9594-5:1990, Technologies de I’informa-
IS0 7498:1984, Systèmes de traitement
tion - Interconnexion de
de l‘information - Inter-
systèmes ouverts -L’An-
connexion de systèmes
nuaire - Partie 5 : Spécifi-
ouverts - Modèle de réfé-
cations de protocoles.
rence de base.
ISO/CEI 9594-6:1990,
Technologies de I’informa-
Technologies de I’informa-
ISO/CEI 8824:1990,
tion - Interconnexion de
tion - Interconnexion de
systèmes ouverts -L’An-
systèmes ouverts - Spéci-
nuaire - Partie 6 : Types
fication de la notation de
d’attribut sélectionnés.
syntaxe abstraite numéro I
(ASN. 7).
I SO/C El 9 59 4-7: 1 990,
Technologies de I’informa-
ISO/CEI 9072-1:1989, Systèmes de traitement tion - Interconnexion de
de l’information - Com- systèmes ouverts -L’An-
munication de texte -
nuaire - Partie 7 : Classes
Opérations distantes -
d‘objet sélectionnées.
Partie I : Modèle, notation
et définition du service.
ISO/CEI 9594-3 : 1990 (FI
3.4 Définitions relatives aux entrées d'An-
ISO/CEI 9594-8: 1990, Technologies de l'infor-
nuaire
mation - Interconnexion
de systèmes ouverts -
La présente partie de I'ISO/CEI 9594 utilise les
L'Annuaire - Partie 8 :
termes suivants, définis dans I'ISO/CEI 9594-2 :
Cadre général d'authenti-
fication.
a) attribut ;
10021-3: 1990, Technologies de l'infor-
ISO/CEI
b) type d'attribut ;
mation - Communication
de texte - Systèmes de
c) valeur d'attribut ;
messagerie (MOTIS) -
d) assertion de valeur d'attribut.
Conventions pour la défi-
nition du service abstrait.
3.5 Définitions relatives aux noms
3 Définitions La présente partie de I'ISO/CEI 9594 utilise les
termes suivants, définis dans I'ISO/CEI 9594-2 :
3.1 Définitions de base relatives à l'Annuaire
a) pseudonyme, nom pseudonyme ;
La présente partie de I'ISO/CEI 9594 utilise les
b) nom distinctif ;
termes suivants, définis dans I'ISOKEI 9494-1 :
c) nom (d'Annuaire) ;
a) Annuaire ;
d) nom présenté ;
b) base d'informations d'Annuaire ;
e) nom distinctif relatif.
c) utilisateur (d'Annuaire).
3.6 Définitions relatives aux procédures
3.2 Définitions relatives au modèle d'An-
d'exploitation répartie
nuaire
La présente partie de I'ISO/CEI 9594 utilise les
La présente partie de I'ISO/CEI 9594 utilise les
termes suivants, définis dans I'ISO/CEI 9594-4 :
termes suivants, définis dans I'ISO/CEI 9594-2 :
a) chaînage ;
a) agent de système d'Annuaire ;
b) renvoi de référence.
b) agent d'utilisateur d'Annuaire.
3.7 Définitions relatives au service abstrait
3.3 Définitions relatives à la base d'informa-
tions d'Annuaire
Dans le cadre de la présente partie de
I'ISO/CEI 9594, les définitions suivantes sont
La présente partie de I'ISO/CEI 9594 utilise les
également utilisées :
termes suivants, définis dans I'ISO/CEI 9594-2 :
3.7.1 filtre : Assertion relative à la présence de
a) entrée-pseudonyme ;
certains attributs, ou à leur valeur, faite en vue
de limiter le champ d'une recherche.
b) arbre d'informations d'Annuaire ;
c) entrée (d'Annuaire) ;
3.7.2 contrôles de service : Paramètres véhicu-
lés en tant que partie d'une opération abstraite et
d) supérieur immédiat ;
limitant certains aspects de ses performances.
e) objet/entrée immédiatement supérieur(e) ;
3.7.3 origine : L'utilisateur qui est a l'origine
f) objet ;
d'une opération.
g) classe d'objet ;
4 Abréviations
h) entrée-objet ;
i) subordonné ;
La présente partie de I'ISO/CEI 9594 utilise les
abréviations suivantes :
j) supérieur.
ISO/CEI 9594-3 : 1990 (F)
NOTE - Les abréviations utilisées sont celles de la
DUA Agent d‘utilisateur d‘Annuaire
version anglaise. Dans le présent article, on donne la
(Directory User Agent)
forme de ces abréviations développée en français.
DMD Domaine de gestion d’Annuaire
La forme anglaise est indiquée entre parenthèses
(Directory Management Domain)
pour aider à la compréhension.
RDN Nom distinctif relatif
AVA Assertion de valeur d‘attribut
(Relative Distinguished Name)
(Attribute Value Assertion)
DIB Base d‘informations d’Annuaire
(Directory Information Base) 5 Conventions
DIT Arbre d‘informations d’Annuaire
La présente partie de I’ISO/CEI 9594 utilise les
(Directory Information Tree)
conventions de définition de service abstrait
DSA Agent de système d‘Annuaire
définies dans I‘ISO/CEI 10021-3.
(Directory System Agent)
Section 2 : Service abstrait
L’Annuaire assure des opérations via des Read-
6 Aperçu général du service d’Annuaire
Ports, qui permettent la lecture d’informations
d‘une entrée de la DIB, des SearchPorts, qui per-
6.1 Les services d’Annuaire, tels qu’ils sont
mettent l‘exploration de la DIB et des Modify-
décrits dans I’ISO/CEI 9594-2, sont fournis via
Ports qui permettent la modification d’entrées de
des points d’accès à des DUA, chaque DUA agis-
la DIB.
sant au nom d‘un utilisateur. La figure 1 illustre
ces concepts.
NOTE - Dans le futur, il pourrait y avoir d’autres
types de port d’Annuaire.
~
Point d‘accès 6.4 De même, un DUA (du point de vue de l’An-
nuaire) peut être défini comme suit :
dua
OBJECT
PORTS { readport ICI,
searchport [CI,
modifyPort [CI)
::= id-ot-dua
Le DUA utilise les services fournis par l’Annuaire.
Figure 1 -Accès à l’Annuaire
6.5 Les ports cités en 6.2, 6.3 et 6.4 peuvent être
6.2 En principe, les points d‘accès à l’Annuaire
définis comme suit :
peuvent être de différents types, fournissant dif-
férentes combinaisons de service. L’Annuaire
readport
peut être considéré comme un objet offrant plu- PORT
CONSUMER INVOKES {
sieurs types de port. Chaque port définit une
Read, Compare, Abandon1
forme particulière d’interaction entre l‘Annuaire
::= id-pt-read
et un DUA. Chaque point d‘accès correspond à
une combinaison particulière de types de port.
searchport
PORT
CONSUMER INVOKES {
6.3 En utilisant la notation définie dans
List, Search1
I’ISO/CEI 10021-3, l‘Annuaire peut être défini
.--
..- id-pt-search
comme suit :
modifyport
directory
PORT
OBJECT
CONSUMER INVOKES {
PORTS { readport [SI,
AddEntry, RemoveEntry,
searchport IS],
ModifyEntry, ModifyRDN)
.._
modifyport [SI1
..- id-pt-modify
::= id-oi-directory
ISO/CEI 9594-3 : 1990 (FI
c) CertificationPath.
6.6 Les opérations assurées à partir de read-
Port, de searchport et de modifyPort sont défi-
nies aux articles 9, 10 et 11 de la présente partie
7.2.4 Le type d'information suivant est défini
de I'ISO/CEI 9594.
dans I'ISO/CEI 9072-1 :
a) InvokelD
6.7 Ces ports sont utilisés uniquement comme
méthode de structuration de la description du
service d'Annuaire. La conformité aux opérations 7.2.5 Les types d'informations suivants sont
d'Annuaire est spécifiée dans I'ISOICEI 9594-5. définis dans I'ISO/CEI 9594-4 :
a) OperationProgress ;
7 Types d'informations
b) ContinuationReference.
7.1 Introduction
7.3 Arguments communs
7.1.1 Le présent article identifie et, dans cer-
7.3.1 Les informations CommonArguments
tains cas, définit plusieurs types d'informations
peuvent être présentes pour qualifier l'invoca-
utilisés ensuite dans la définition d'opérations
tion de chaque opération que l'Annuaire peut
d'Annuaire. Ces types d'informations sont ceux
réaliser.
qui sont communs à plusieurs opérations, ou qui
le seront sans doute dans le futur, ou ceux qui
sont suffisamment complexes ou indépendants CommonArguments ::= SET {
I301 SenriceControls DEFAULT Il,
pour justifier une définition indépendante de
[291 SecurityParameters DEFAULT {I,
l'opération qui les utilise.
requestor [281 DistinguishedName
OPTIONAL,
7.1.2 Plusieurs types d'informations utilisés
1271 OperationProgress DEFAULT InotStartedl,
dans la définition du service d'Annuaire sont en
aliasedRDNs [261 INTEGER OPTIONAL,
fait définis ailleurs. Le paragraphe 7.2 identifie
extensions 1251 SET OF Extension
ces types et indique où ils sont définis. Les para-
OPTIONAL
graphes 7.3 à 7.11 identifient et définissent
Extension ::= SET {
chacun un type d'information.
Identifier [O1 INTEGER,
critical [I] BOOLEAN DEFAULT FALSE,
7.2 Types d'informations définis dans d'au- item [21 ANY DEFINED BY Identifier}
tres parties de I'ISO/CEI 9594
7.2.1 Les types d'informations suivants sont
7.3.2 La signification des différents composants
définis dans I'ISO/CEI 9594-2 :
est donnée aux paragraphes 7.3.2.1, 7.3.2.3 et
7.3.2.4.
a) Attribute ;
7.3.2.1 Le composant ServiceControls est spéci-
b) AttributeType ;
fié en 7.5. Son absence signifie qu'il y a un
c) Attributevalue ; ensemble vide de contrôle.
d) Attri buteValueAssertion ; 7.3.2.2 Le composant SecurityParameters est
spécifié en 7.9. Son absence signifie qu'il y a un
e) DistinguishedName ;
ensemble vide de paramètre de sécurité.
f) Name ;
7.3.2.3 Le nom distinctif requestor identifie l'ori-
gine d'une opération abstraite donnée. II
g) RelativeDistinguishedName.
contient le nom de l'utilisateur tel qu'il a été
identifié au moment de la liaison avec I'An-
7.2.2 Le type d'information suivant est défini
nuaire. II peut être exigé quand la demande doit
dans I'ISO/CEI 9594-6 :
être signée (voir 7.101, et il doit contenir le nom
de l'utilisateur qui a lancé la demande.
a) PresentationAddress.
7.3.2.4 OperationProgress définit le rôle que
7.2.3 Les types d'informations suivants sont doit jouer le DSA dans l'évaluation répartie de la
définis dans I'ISO/CEI 9594-8 : demande. L'ISO/CEI 9594-4 en donne une défini-
tion plus complète.
a) Certificate ;
b) SIGNED ;
ISO/CEI 9594-3 : 1990 (FI
7.3.2.5 Le composant aliasedRDNs indique au 7.4.2 La signification des différents composants
DSA que le composant object de l‘opération a
est donnée aux paragraphes 7.4.2.1, 7.4.2.2 et
été cré6 en changeant le nom d‘un pseudonyme
7.4.2.3.
au cours d’une précédente tentative d’opération.
7.4.2.1 Le composant SecurityParameters est
La valeur d‘entier indique le nombre de RDN
spécifié en 7.9. Son absence signifie qu‘il y a un
dans l‘objet provenant du changement de nom
ensemble vide de paramètre de sécurité.
du pseudonyme. (La valeur aurait été mise dans
le renvoi de l’opération précédente.)
7.4.2.2 Le nom distinctif performer identifie le
II peut être
réalisateur d‘une opération donnée.
7.3.2.6 Le composant extensions fournit un
exigé quand le résultat doit être signé (voir 7.10)
mécanisme pour exprimer des extensions nor-
et il doit contenir le nom du DSA qui a signé le
malisées à la forme de l’argument d’une opéra-
résultat.
tion abstraite d’Annuaire.
7.4.2.3 Le composant aliasDeferenced est mis à
NOTE - La forme du résultat d‘une opération abs-
traite étendue est identique à celui d‘une opération TRUE quand le nom proposé d‘un object ou
non étendue. (Néammoins, le résultat d‘une opéra-
baseobject, cible de l’opération, contenait un
tion abstraite étendue donnée peut être différent de
pseudonyme dont la référence a été changée.
son homologue non étendue.)
7.5 Contrôles de service
Les paragraphes 7.3.2.6.1, 7.3.2.6.2 et 7.3.2.6.3
définissent les sous-composants.
7.5.1 Un paramètre ServiceControls contient les
e
contrôles destinés à diriger ou limiter la fourni-
ture du service.
7.3.2.6.1 Le sous-composant identifier sert à
identifier une extension donnée. Les valeurs de
ce composant ne seront attribuées que dans les ServiceControls ::= SET {
options [O1 BIT STRING {
versions futures de la présente Norme interna-
preferChaining(O),
tionale.
chainingprohibited (l),
localScope (2),
7.3.2.6.2 Le sous-composant critical permet à dontUseCopy (3),
dontDereferenceAliases(4)l
l’origine de l‘opération abstraite étendue d’indi-
DEFAULT {I,
quer que la réalisation de la forme étendue de
l’opération abstraite est la seule acceptable
priority [ll INTEGER {
(c’est-à-dire : la forme non étendue n’est pas
low (O),
acceptable). Dans ce cas, l‘extension est une medium (l),
high (2) 1 DEFAULT medium,
extension critique. Si l’Annuaire, ou une partie
de l‘Annuaire, ne peut pas réaliser une extension
limeLimit [21 INTEGER OPTIONAL,
critique, il renvoie une indication de unavailable-
sizeLimit 131 INTEGER OPTIONAL,
CriticalExtension (en tant que serviceError ou
PartialOutcomeQualifier). Si l’Annuaire ne peut
scopeOfReferral 141 INTEGER{
pas réaliser une extension non critique, il ignore
*
dmd(O),
la présence de l’extension.
country(1))
OPTIONAL 1
7.3.2.6.3 Le sous-composant item fournit les
informations nécessaires à l‘Annuaire pour réali-
7.5.2 La signification des différents composants
ser la forme étendue d’une opération abstraite.
est donnée aux paragraphes 7.5.2.1 et 7.5.2.5.
7.4 Résultats communs
7.5.2.1 Le composant options contient plusieurs
indications qui établissent des conditions
7.4.1 Les informations CommonResuIts
comme suit :
devraient être présentes pour qualifier le résultat
de chaque opération de recherche que I’An-
a) preferchaining indique que, pour fournir le
nuaire peut réaliser.
service, le chaînage est préféré au renvoi de
référence ; l‘Annuaire n‘est pas obligé de sui-
CommonResults ::= SET {
vre cette préférence ;
1301 SecurityParameters OPTIONAL,
performer 1291 DisthguishedName OPTIONAL,
b) chainingprohibited indique que le chaînage
aliasDereierenced [281 BOOLEAN DEFAULT FALSE)
est interdit, ainsi que toute autre méthode de
répartition de la demande dans l’Annuaire ;
7.5.2.5 Le composant scopeOfReferra1 indique
c) localScope indique que l'opération doit être
limitée à un cadre local. La définition de cette le cadre dans lequel doit se situer un renvoi de
référence fait par un DSA. Suivant la valeur choi-
option relève elle-même d'une initiative locale,
sie, dmd ou country, les renvois de référence aux
dans un DSA ou un DMD, par exemple ;
autres DSA ne doivent être faits que dans le
d) dontUseCopy indique que des informa-
cadre choisi. Ceci s'applique au composant
tions copiées (telles que définies dans
Referral de la macro ERRORS et au composant
I'ISO/CEI 9594-4) ne doivent pas être utili-
unexplored de ListResults et SearchResuIts (voir
sées pour fournir le service ;
10.1 et 10.2).
e) dontDereferenceAliases indique que la
7.5.3 Des conflits peuvent résulter de certaines
référence de tout pseudonyme utilisé pour
combinaisons de priority, tirneLimit et sizelimit.
identifier l'entrée concernée par une opéra-
Par exemple, un délai court peut être incompati-
tion ne doit pas être changée.
ble avec une priorité basse, une taille élevée
avec un délai court, etc.
NOTE -Ceci est nécessaire pour permettre de faire
à une entrée-pseudonyme, plutôt qu'à
référence
l'entrée-objet a laquelle renvoie le pseudonyme, en 7.6 Choix d'informations d'une entrée
vue de lire l'entrée-pseudonyme par exemple.
7,6.1 Un paramètre EntrylnformationSelection
indique quelles informations seront demandées
Si ce composant est absent, il est supposé que
d'une entrée dans un service de recherche.
- il n'y a pas de préférence pour le chaînage,
EntrylnformationSelection::= SET {
mais le chaînage n'est pas interdit,
atiri buteTypes
- le cadre de l'opération n'est pas limité,
CHOICE (
ailAttributes 101 NULL,
- l'utilisation des copies est autorisée,
select 111 SET OF AttributeType
-- un ensemble vide n'indique qu'aucun
- la référence des pseudonymes est changée
-- attribut n'est demandé.
(sauf pour les opérations de modification où la
DEFAULT allAttributes NULL,
référence des pseudonymes n'est jamais chan-
infoTypes [21 INTEGER {
gée).
attributeTypesOnly (O),
attributeTypesAndValues (1) I
7.5.2.2 Le composant priority (low, medium,
DEFAULT attributeTypesAndValues 1
high) indique selon quelle priorité le service doit
être fourni. II ne s'agit pas d'un service garanti
puisque l'Annuaire ne met pas en œuvre de pro-
7.6.2 La signification des différents composants
cédé de files d'attente. L'utilisation de priorités
est donnée aux paragraphes 7.6.2.1 et 7.6.2.2.
dans les couches inférieures n'a aucun rapport
avec ce composant.
7.6.2.1 Le composant attributeTypes spécifie
l'ensemble d'attributs au sujet desquels sont
7.5.2.3 Le composant tirneLimit indique, en
demandées des informations :
secondes, le temps maximum qui peut s'écouler
avant que le service soit fourni. Si le délai ne peut
a) si l'option select est choisie, les attributs
pas être respecté, une erreur est signalée. Si ce
concernés sont listés. Si la liste est vide,
composant est absent, aucune limite de temps
aucun attribut ne sera renvoyé. Les informa-
n'est imposée. Dans le cas où le délai est dépassé
tions relatives à un attribut choisi seront ren-
pour les opérations List et Search, le résultat est
voyées si l'attribut est présent. Un résultat
un choix arbitraire des résultats obtenus.
attributeError avec le paramètre noSuchAttri-
NOTE - Ce composant n'implique tien quant à la
bute ne sera renvoyé que si aucun des attri-
durée du traitement de la demande pendant le délai
buts choisis n'est présent ;
fixé : n'importe quel nombre de DSA peut participer
au traitement de la demande pendant le délai fixé. b) si l'option allAttributes est choisie, des
informations sont demandées au sujet de
tous les attributs de l'entrée.
7.5.2.4 Le composant sizeLimit n'est applicable
qu'aux opérations List et Search. II indique le
nombre maximum d'objets à renvoyer. Dans le
Les informations relatives aux attributs ne sont
cas où la limite de taille est dépassée, les résul-
renvoyées que si les droits d'accès sont suffi-
tats des opérations List et Search peuvent être
sants. Un résultat securityError (avec le paramè-
un choix arbitraire des résultats obtenus, égal en
tre insufficientAccessRights) ne sera renvoyé que
nombre à la taille limite. Tout résultat ultérieur
dans le cas où les droits d'accès interdisent la lec-
doit être détruit.
ture de toutes les valeurs d'attributs demandées.
ISO/CEI 9594-3 : 1990 (F)
7.6.2.2 Le composant infoTypes spécifie si les
7.8.2 Un Filter est soit un Filterltem (voir 7.8.3)
informations sont demandées à la fois sur le soit une expression comprenant des filtres plus
simples combinés à l'aide des opérateurs logi-
type d'attribut et la valeur d'attribut (par
ques and, or et not. Filter est non défini si c'est
DEFAULT) ou sur le type d'attribut seulement. Si
un ou
un Filterltem non défini ou s'il comprend
le composant attributeTypes (7.6.2.1) est tel
plusieurs Filters tous non définis. Autrement,
qu'aucun attribut n'est demandé, le composant
quand Filter est :
i nfoTypes est sans signification.
a) un item, il est TRUE si et seulement si le Fil-
7.7 Informations d'une entrée
terltem correspondant est TRUE ;
7.7.1 Un paramètre Entrylnformation véhicule b) un and, il est TRUE si aucun des Filters le
les informations choisies dans une entrée. composant (Filters emboîtés) n'est FALSE ;
NOTE - Ainsi, s'il n'y a pas de Filter emboîte, and
Entrylnformation ::= SEQUENCE I
donne une évaluation TRUE.
DistinguishedName,
iromEntry BOOLEAN DEFAULT TRUE,
c) un or, il est FALSE si aucun des Filters
SET OF CHOICE {
emboîtés n'est TRUE ;
AttributeType,
Attribute 1 OPTIONAL l
NOTE - Ainsi, s'il n'y a pas de Filter emboîté, or
donne une évaluation FALSE.
7.7.2 Le DistinguishedName de l'entrée est tou-
d) un not, il est TRUE si et seulement si le Fil-
jours inclus.
ter emboîté est FALSE.
7.7.3 Le paramètre fromEntry indique si les
7.8.3 Un Filterltem est une assertion sur la pré-
informations ont été obtenues de l'entrée (TRUE)
sence ou la (les) valeur(s) d'un attribut donné de
ou d'une copie de l'entrée (FALSE).
l'entrée testée. Chaque assertion est TRUE,
FALSE ou non définie.
7.7.4 Un ensemble de AttributeTypes ou Attri-
butes est inclus, s'il y a lieu, chacun pouvant être
7.8.3.1 Chaque Filterltem comprend un Attribute-
seul ou accompagné d'une ou plusieurs valeurs
Type identifiant l'attribut concerné.
d'attribut.
7.8.3.2 Toute assertion sur la valeur d'un attri-
7.8 Filtre
but n'est connue que si AttributeType est défini
et si la (les) Attributevalue présentée(s) sont
Un paramètre Filter teste une entrée ; I'en-
7.8.1
conforme(s) à la syntaxe d'attribut définie pour
tree satisfait ou non au test. Le filtre est exprimé
cet attribut.
en termes d'assertions sur la présence ou la
NOTES
valeur de certains attributs de l'entrée ; le test est
réussi si et seulement si il est TRUE.
1 Si ces conditions ne sont pas remplies, Filterltem est
NOTE -Filter peutêtreTRUE,FALSE ou non défini. non défini.
c
2 Des règles de contrôle d'accès peuvent exigées que
Filter ::= CHOICE{
Filterltem soit considéré comme non défini.
item [O] Filterltem,
and [ll SET OF Filter,
7.8.3.3 Des assertions sur la valeur d'un attribut
or 121 SETOF Filter,
sont évaluées en utilisant les règles de concor-
not 131 Filter l
dance associées à la syntaxe d'attribut définie
Filterltem ::= CHOICE {
pour ce type d'attribut. Une règle de concor-
equality [O] AttributeValueAsserîion,
dance ne peut pas être utilisée pour un attribut
substrings [ll SEQUENCE{
donné si elle n'a pas été définie pour la syntaxe
type AttributeType,
de cet attribut.
strings SEQUENCE OF CHOICE {
initial [O] Attributevalue,
NOTE - Si cette condition n'est pas remplie, Filter-
any 111 Attributevalue,
Item est non défini.
final i21
AttributeValuell,
greaterOrEqual [21 AttributeValueAssertion,
IessOrEqual [31 AtiributeValueAssertion,
present 141 AttributeType,
approximateMatch [51 AttributeValueAssertion)
ISO/CEI 9594-3 : 1990 (F)
7.8.3.4 Quand l'assertion est :
SecurityParameters::= SET {
certification-path 101 CertificationPath OPTIONAL,
a) equality, Filterltem est TRUE si et seule-
name 111 DistinguishedName OPTIONAL,
ment si il y a une valeur d'attribut égale à la time 121 UTCTime OPTIONAL,
random131 BIT STRING OPTIONAL,
valeur affirmée ;
target 141 ProtectionRequest OPTIONAL 1
b) substrings, Filterltem est TRUE si et seule-
ment si il y a une valeur d'attribut dans
ProtectionRequest ::= INTEGER I none(O),
laquelle les sous-chaînes spécifiées apparais-
signed (1))
sent dans l'ordre donné. Les sous-chaînes ne
doivent pas se chevaucher et peuvent (mais
ce n'est pas une nécessité) être séparées des 7.9.2 La signification des différents composants
est donnée aux paragraphes 7.9.2.1 à 7.9.2.5.
extrémités de la valeur d'attribut et séparées
les unes des autres par zéro ou plusieurs élé-
7.9.2.1 Le composant CertificationPath est com-
ments de chaîne.
posé du certificat de l'expéditeur et, en option,
d'une séquence de paires de certificats. Le certifi-
Si initial, ou final, figure, la sous-chaîne doit
cat est utilisé pour associer la clé publique de
concorder respectivement avec la sous-chaîne
l'expéditeur à son nom distinctif; il peut être uti-
initiale ou avec la sous-chaîne finale de la
lisé pour vérifier la signature donnée dans
valeur d'attribut. Si any figure, la sous-chaîne
l'argument ou le résultat. Ce paramètre doit figu-
peut concorder avec n'importe quelle
rer si l'argument ou le résultat sont signés. La
sous-chaîne de la valeur d'attribut ;
séquence de paires de certificats comprend des
contre-certificats d'autorité de certification. Le
c) greaterOrEqual, Filterltem est TRUE si et
contre-certificat est utilisé pour permettre de
seulement si le classement relatif (tel que
valider le certificat de l'expéditeur. II n'est pas
défini par l'algorithme de classement appro-
exigé si le destinataire dépend de la même auto-
prié) met la valeur fournie avant toute valeur
rité de certification que l'expéditeur. Si le desti-
de l'attribut ou au même rang que celui de la
nataire exige un jeu valide de paires de
valeur l'attribut ;
certificats, et si ce paramètre est absent, soit le
destinataire refuse la signature donnée dans l'ar-
d) IessOrEqual, Filterltem est TRUE si et seu-
gument ou le résultat, soit il essaie de produire le
lement si le classement relatif (tel que défini
CertificationPath ; cela relève d'une initiative
par l'algorithme de classement relatif appro-
locale.
prié) met la valeur fournie après toute valeur
de l'attribut ou au même rang que celui de la
7.9.2.2 Name est le nom distinctif du premier
valeur de l'attribut ;
destinataire prévu de l'argument ou du résultat.
Par exemple, si un DUA produit un argument
e) present, Filterltem est TRUE si et seulement
si cet attribut figure dans l'entrée ; signé, le nom est le nom distinctif du DSA auquel
est soumise l'opération.
f) approximateMatch, Filterltem est TRUE si et
seulement si il y a une valeur de l'attribut qui 7.9.2.3 Time est le délai prévu de validité de la
concorde avec la valeur affirmée d'après un
signature quand sont utilisés des arguments
algorithme de concordance approchée défini signés. II est utilisé avec Random pour permettre
localement (par exemple : variations ortho- la détection d'attaques du type ((rejouer)).
graphiques, concordance phonétique, etc.). La
7.9.2.4 Random est un nombre qui devrait être
présente version de I'ISOKEI 9594 ne donne
différent pour chaque jeton non périmé. II est uti-
pas de principes directeurs pour la concor-
lisé avec Time pour permettre la détection d'atta-
dance approchée. Si la concordance appro-
ques du type ((rejouer)) quand l'argument ou le
chée n'est pas prise en charge, Filterltem doit
résultat ont été signés.
être traité comme pour equality.
7.9.2.5 ProtectionRequest ne peut figurer -
7.9 Paramètres de sécurité
pour target - que dans la demande d'une opéra-
tion à effectuer ; il indique les préférences du
7.9.1 SecurityParameters régissent le fonction-
demandeur en ce qui concerne le niveau de pro-
nement de divers dispositifs de sécurité liés à
tection à fournir pour le résultat. Deux niveaux
l'exploitation de l'Annuaire.
sont fournis : none (pas de protection exigée,
fourni par défaut) et signed (l'Annuaire doit
NOTE -Ces paramètres sont véhiculés de I'expédi-
signer le résultat). Le niveau de protection réelle-
teur au destinataire. Si ces paramètres figurent dans
ment fourni pour le résultat est indiqué par la
l'argument d'une opération abstraite, le demandeur
est l'expéditeur et l'exécutant est le destinataire. Si forme du résultat et peut être égal ou inférieur à
ces paramètres figurent dans le résultat, ces rôles
celui demandé, suivant les capacités de l'An-
sont inversés.
nuaire.
ISO/CEI 9594-3 : 1990 (F)
7.10 OPTIONALLY-SIGNED
Strongcredentials ::= SET I
cerîification-path 101 CertificationPath
7.10.1 Les valeurs d'un type d'informations
OPTIONAL,
OPTIONALLY-SIGNED peuvent, au choix de I'au-
bind-token ill Token 1
teur, être accompagnées de sa signature numéri-
Token ::= SIGNED SEQUENCE (
que. La macro suivante spécifie cette capacité :
algorithm [O1 Algorithmldentifier,
name ill DistinguishedName,
OPTIONALLY-SIGNED MACRO ::=
time i21 UTCTime,
BEGIN
random i31 BIT STRING 1
TYPE NOTATION ::= type (Type)
Versions ::= BIT STRING {v1988(0))
VALUE NOTATION ::= value (VALUE
{ Type, SIGNED Type}) DirectoryBindResult ::= DirectoryBindArgument
CHOICE
DirectoryBindError ::= SET {
END
versions [DI Versions DEFAULT 1~19881,
CHOICE {
7.10.2 La macro SIGNED est spécifiée dans serviceError [ll
ServicePrOblem,
I 'I SO/CE I 959 4-8.
securityError i21 SecurityProblem 11
8 Opérations BIND et UNBIND
8.1.2 Les différents arguments sont définis en
Les opérations DirectoryBind et DirectoryUn-
8.1.2.1 et 8.1.2.2.
bind, définies en 8.1 et 8.2, sont utilisées par le
8.1.2.1 L'argument Credentials de Directory-
DUA au début et à la fin d'une période donnée
BindArgument permet à ['Annuaire d'établir
d'accès à l'Annuaire.
l'identité de l'utilisateur. Les justificatifs peu-
vent être simples, forts ou définis à l'extérieur
8.1 DirectoryBind
(externalProcedure) (tels que décrits dans
I'ISO/CEI 9594-8).
8.1.1 Une opération DirectoryBind est utilisée
au début de la période d'accès à l'Annuaire.
8.1.2.1.1 SimpleCredentials est composé d'un
DirectoryBind ::= ABSTRACT-BIND
nom (toujours le nom distinctif d'un objet) et (en
TO { readport, searchport, modifyport }
option) d'un mot de passe. Ceci assure un niveau
BIND
limité de sécurité. Si le mot de passe est protégé
ARGUMENT DirectoryBindArgument
comme le décrit l'article 5 de I'ISO/CEI 9594-8,
RESULT DirectoryBindResult
SimpleCredentials comprend un nom, un mot de
BIND-ERROR DirectoryBindError
passe et (en option), l'heure et/ou des nombres
DirectoryBindArgument ::= SET I
aléatoires utilisés pour détecter le fait de rejouer.
credentials [DI Credentials OPTIONAL,
Dans certains cas, le mot de passe protégé peut
versions [ll Versions DEFAULT {vl988))
être vérifié par un objet qui ne connaît le mot de
Credentials ::= CHOICE {
passe qu'après avoir appliqué localement la pro-
simple [DI SimpleCredentials,
tection à sa propre copie du mot de passe et avoir
[ll StrongCredentials,
strong
comparé le résultat à la valeur de l'argument bind
externalProcedure [21 EXTERNAL)
(password). Dans d'autres cas, une comparaison
SimpleCredentials ::= SEQUENCE{
directe peut être possible.
name [O] DistinguishedName,
validity r11 sa{
time1 [DI UTCTime OPTIONAL, 8.1.2.1.2 Strongcredentials est composé d'un
time2 111 UTCTime OPTIONAL,
jeton (bind-token) et, en option, d'un certificat
random1 121 BIT STRING OPTIONAL,
et d'une séquence de contre-certificats de I'au-
random2 131 BIT STRING OPTIONAL)
torité de cerdfication (telle que définie dans
OPTIONAL,
I'ISO/CEI 9594-8). Ceci permet a l'Annuaire
--dans la plupart des cas, les arguments
d'authentifier l'identité du demandeur établis-
-- pour time et random sont appropriés
sant l'association, et vice versa.
-- dans les dialogues employant
-- des mécanismes de mots de passe
Les arguments de bind-token sont utilisés
-- protégés ; leur signification
comme suit :
-- est établie par accord bilatéral
password [21 OCTET STRING OPTIONAL)
- algorithm est l'identificateur de l'algorithme
-- la valeur devrait être un mot de passe
employé pour signer les informations,
-- non protege, ou Protected1
-- ou Protected2, comme le spécifie
- name est le nom du destinataire visé,
-- I'ISO/CEI 9594-8.
ISO/CEI 9594-3 : 1990 (F)
8.2 DirectoryUnbind
-time contient l'heure à laquelle expire le
jeton,
8.2.1 Une opération DirectoryUnbind est utilisée
- random est un nombre qui devrait être diffé- à la fin de la période d'accès à l'Annuaire.
rent pour chaque jeton non expiré ; il peut être
utilisé par le destinataire pour détecter les atta- DirectoryUnbind ::= ABSTRACT-UNBIND
FROM IreadPort, searchport, modiiyPorî )
ques de type ((rejouem.
8.1.2.1.3 Si externalProcedure est utilisé, la
8.2.2 DirectoryUnbind n'a pas d'argument.
sémantique du schéma d'authentification à utili-
ser est en dehors du domaine d'application de la
présente Norme internationale. 9 Opérations Read
8.1.2.2 L'argument Versions de DirectoryBind-
Il y a deux opérations «read)) : Read et Compare,
Argument identifie les versions du protocole
définies en 9.1 et 9.2. Par commodité, l'opération
auxquelles le DUA est prêt à participer. Pour la
Abandon est regroupée avec les opérations
présente version du protocole, la valeur doit être
Read.
v1988(0).
8.1.2.3 La migration vers de futures versions de
9.1 Read
l'Annuaire devrait être facilitée par l'application
9.1.1 L'opération Read est utilisée pour extraire
de ce qui suit :
des informations d'une entrée explicitement
identifiée. Elle peut aussi servir à vérifier un nom
a) tout élément de DirectoryBindArgument,
distinctif. Les arguments de l'opération peuvent,
autre que ceux définis dans la présente partie
en option, être signés par le demandeur (voir
de I'ISOKEI 9594, doit être accepté et ignoré ;
7.10). Sur demande, l'Annuaire peut signer le
b) les options supplémentaires pour les bits
résultat.
nommés de DirectoryBindArgument (par
exemple, Versions) non définies doivent être
Read ::= ABSTRACT-OPERATION
acceptées et ignorées.
ARGUMENT ReadArgument
RESULT ReadResult
ERRORS I AttributeError, NameError,
8.1.3 Si la demande bind réussit, un résultat
ServiceError, Referral, Abandoned,
doit être renvoyé, La spécification des paramè-
SecurityError 1
tres du résultat est donnée aux paragraphes
ReadArgument ::= OPTIONALLY-SIGNED SET I
8.1.3.1 et 8.1.3.2.
object [O] Name,
selection [l] EntrylnformationSelection
8.1.3.1 L'argument Credentials de Directory-
DEFAULT { 1,
BindResult permet à l'utilisateur d'établir l'iden-
COMPONENTS OF CommonArguments 1
tité de l'Annuaire. II permet aux informations
identifiant le DSA (celui qui fournit le service
ReadResult ::= OPTIONALLY-SIGNED SET I
d'Annuaire) d'être acheminées vers le DUA. II entry [O] Entrylnformation,
COMPONENTS OF CommonResults 1
doit avoir la même forme (CHOICE) que celui
fourni par l'utilisateur.
9.1.2 La signification des différents arguments
, 8.1.3.2 Le paramètre Versions de DirectoryBind-
est donnée en 9.1.2.1,9.1.2.2 et 9.1.2.3.
Result indique quelle version demandée par le
DUA sera fournie par le DSA.
9.1.2.1 L'argument object identifie l'entrée-objet
dont sont demandées les informations. Si name
8.1.4 Si la demande bind échoue, un bind error
comporte un ou plusieurs pseudonymes, leur
doit être renvoyé, tel que défini en 8.1.4.1 et
nom est changé (à moins que cela soit interdit
8.1.4.2.
par les contrôles de service).
8.1.4.1 Le paramètre Versions de DirectoryBind-
9.1.2.2 L'argument selection indique quelles
Error indique quelles versions sont prises en
informations de l'entrée sont demandées (voir
charge par le DSA.
7.6).
8.1.4.2 Un securityError ou serviceError doit
9.1.2.3 CommonArguments (voir 7.3) spécifie
être fourni :
les contrôles de service s'appliquant à la
demande. Dans cette opération, le composant
- securityError inappropriateAuthentication
sizeLimit n'est pas approprié et il est ignoré s'il
invalidcredentials
est fourni.
- serviceError unavailable
ISO/CEI 9594-3 : 1990 (F)
9.2.3 Si la demande réussit (c'est-à-dire, si la
9.1.3 Si la demande réussit, le résultat doit être
comparaison est réellement effectuée), le résul-
renvoyé. La signification des paramètres du
tat doit être renvoyé, La signification des para-
résultat est donnée aux paragraphes 9.1.3.1 et
mètres du résultat est donnée aux paragraphes
7.4.
9.2.3.1 à 9.2.3.4 et 7.4.
9.1.3.1 Le paramètre entry donne les informa-
tions demandées (voir 7.7). 9.2.3.1 Le paramètre DistinguishedName figure
si un nom de pseudonyme a été changé ; il repré-
sente le nom distinctif de l'objet lui-même.
9.1.4 Si la demande échoue, une des erreurs lis-
tées doit être signalée. Si aucun des attributs
9.2.3.2 Le paramètre matched donne le résultat
listés explicitement dans selection ne peut être
de la comparaison. II prend la valeur TRUE si les
renvoyé, AttributeError avec noSuchAttribute
valeurs ont été comparées et si elles concordent,
doit être signalée. Les cas oh d'autres erreurs
FALSE si elles ne l'ont pas été.
doivent être signalées sont définis à l'article 12.
9.2.3.3 Si fromEntry est TRUE, les informations
9.2 Compare ont été comparées à l'entrée ; si fromEntry est
FALSE, les informations ont été comparées à une
9.2.1 L'opération Compare est utilisée pour
copie.
comparer une valeur (fournie en tant qu'argu-
ment d'une demande) avec la (les) valeurs(s)
9.2.4 Si la demande échoue, une des erreurs lis-
d'un type d'attribut donné dans une entrée-objet
e
tées doit être signalée. Les cas où d'autres
donnée. Les arguments peuvent, en option, être
erreurs doivent être signalées sont définies à
signés par le demandeur (voir 7.10). Sur
l'article 12.
demande, l'Annuaire peut signer le résultat.
9.3 Abandon
Compare ::= ABSTRACT-OPERATION
ARGUMENT CompareArgurnent 9.3.1 Les opérations d'interrogation de l'An-
RESULT CompareResult
nuaire
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...