ISO/IEC 9594-2:1990
(Main)Information technology - Open Systems Interconnection - The Directory - Part 2: Models
Information technology - Open Systems Interconnection - The Directory - Part 2: Models
Technologies de l'information — Interconnexion de systèmes ouverts — L'Annuaire — Partie 2: Modèles
General Information
Relations
Frequently Asked Questions
ISO/IEC 9594-2:1990 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Open Systems Interconnection - The Directory - Part 2: Models". This standard covers: Information technology - Open Systems Interconnection - The Directory - Part 2: Models
Information technology - Open Systems Interconnection - The Directory - Part 2: Models
ISO/IEC 9594-2:1990 is classified under the following ICS (International Classification for Standards) categories: 35.100.70 - Application layer. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 9594-2:1990 has the following relationships with other standards: It is inter standard links to ISO/IEC 9594-2:1990/Cor 1:1991, ISO/IEC 9594-2:1990/Cor 2:1992, ISO/IEC 9594-2:1995; is excused to ISO/IEC 9594-2:1990/Cor 1:1991, ISO/IEC 9594-2:1990/Cor 2:1992. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 9594-2:1990 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
I NTE R NATIONAL
ISOIIEC
STANDARD
First edition
1990-1 2- 15
Information technology - Open Systems
Interconnection - The Directory -
Part 2:
Models
Technologies de l'information - Interconnexion de systèmes ouverts - L'annuaire -
Partie 2: Modèles
Reference number
ISO/IEC 9594-2 : 1990 (E)
ISO/IEC 9594-2 1990(E)
Con tents
Page
...
Foreword . 111
Introduction . iv
SECTION 1: GENERAL 1
1 Scope . 1
2 Normative references . 1
3 Definitions . 1
4 Abbreviations . 2
SECTION 2: DIRECTORY MODEL 2
5 Directory Model . 2
SECTION 3: INFORMATION MODEL 3
6 Directory Information Base . 3
7 Directory Entries . 5
8 Names . 6
9 Directory Schema . 8
SECTION 4: SECURITY MODEL 13
10 Security . 13
Annex A - The Mathematics of Trees . 14
Annex B - Object Identifier Usage . 15
Annex C - Information Framework in ASN.l . 16
Annex D - Alphabetical Index of Definitions . 19
Annex E - Name Design Criteria . 20
Annex F - Access Control . 21
O ISO/IEC 1990
All rights reserved . No part of this publication may be reproduced or utilized in any form or by
any means. electronic or mechanical. including photocopying and microfilm. without permission
in writing from the publisher .
ISO/IEC Copyright Office 0 Case postale 56 0 CH-1211 Genève 20 0 Switzerland
Printed in Switzerland
ISO/IEC 9594-2 : 1990(E)
Foreword
IS0 (the International Organization for Standardization) and IEC (the International
Electrotechnical Commission) form the specialized system for worldwide standardiz-
ation. National bodies that are members of IS0 or IEC participate in the development
of International Standards through technical committees established by the respective
organization to deal with particular fields of technical activity. IS0 and IEC technical
committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with IS0 and IEC, also take part in the
work.
In the field of information technology, IS0 and IEC have established a joint technical
committee, ISOAEC JTC 1. Draft International Standards adopted by the joint
technical committee are circulated to national bodies for voting. Publication as an
International Standard requires approval by at least 75 '70 of the national bodies casting
a vote.
International Standard ISO/IEC 9594-2 was prepared by Joint Technical Committee
ISO/IEC JTC 1, In formation technology.
ISO/IEC 9594 consists of the following parts, under the general title Information
technology - Open Systems Interconnection - The Directory:
- Part I: Overview of concepts, models and services
- Part 2: Models
- Part 3: Abstract service definition
- Part 4: Procedures for distributed operation
- Part 5: Protocoi specifications
e
- Part 6: Selected attribute types
- Part 7: Selected object classes
- Part 8: Authentication framework
Annexes B and C form an integral part of this part of ISOAEC 9594. Annexes A,
D, E and F are for information only.
...
ISO/IEC 9594-2 : 1990(E)
Introduction
0.1 This part of ISO/IEC 9594, together with the other parts, has been produced to facilitate the interconnection of
information processing systems to provide directory services. A set of such systems, together with the directory information
which they hold, can be viewed as an integrated whole, called the Directory. The information held by the Directory,
collectively known as the Directory Information Base (DIB), is typically used to facilitate communication between, with or
about objects such as application entities, people, terminals and distribution lists.
0.2 The Directory plays a significant role in Open Systems Interconnection, whose aim is to allow, with a minimum of
technical agreement outside of the interconnection standards themselves, the interconnection of information processing
systems:
from different manufacturers;
under different managements;
of different levels of complexity; and
of different ages.
0.3 This part of ISO/IEC 9594 provides a number of different models for the Directory as a framework for the other parts of
ISO/IEC 9594. The models are the overall (functional) model; the organizational model; the security model; and the
information model. The latter describes the manner in which the Directory organizes the information it holds. It describes, for
example, how information about objects is grouped to form directory entries for those objects and how that information
provides names for objects.
0.4 Annex A summarizes the mathematical terminology associated with tree structures.
0.5 Annex B summarizes the usage of ASN.l object identifiers in ISO/IEC 9594.
0.6 Annex C provides the ASN.l module which contains all of the definitions associated with the infoimation framework.
0.7 Annex D lists alphabetically the terms defined in this document.
0.8 Annex E describes some criteria that can be considered in designing names.
0.9 Annex F describes guidelines for access control.
0.10 Annex G describes the derivation of a subclass.
iv
ISO/IEC 9594-2 : 1990 (E)
INTERNATIONAL STANDARD
Information technology - Open Systems Interconnection -
The Directory -
Part 2:
Models
SECTIOP 1: GENERAL
Information Technology - Open
ISO/IEC 8824: 1990,
1 Scope
Systems Interconnection -
1.1 The models defined in this part of ISO/IEC 9594
Specifcation of Abstract Syntax
provide a conceptual and terminological framework for the
Notation One (ASNJ).
other parts of ISO/IEC 9594 which define various aspects
of the Directory.
ISO/IEC 9594-1 : 1990, Information Technology - Open
Systems Interconnection - The
1.2 The functional and organizational models define
Directory - Part I: Overview of
ways in which the Directory can be distributed, both
Concepts, Models and Services.
functionally and administratively.
ISOAEC 9594-3: 1990, In formation Technology - Open
The security model defines the framework within
1.3
Systems Interconnection - The
which security features, such as access control, are
Directory - Part 3: Abstract Service
provided in the Directory.
Definition.
1.4 The information model describes the logical structure
ISOAEC 9594-4:1990, Information Technology - Open
of the DIB. From this viewpoint, the fact that the Directory
Systems Interconnection - The
is distributed, rather than centralized, is not visible. The
Directory - Part 4: Procedures for
other parts of ISODEC 9594 make use of the concepts of
Distributed Operation.
the information framework. Specifically:
ISOAEC 9594-5: 1990, Information Technology - Open
the service provided by the Directory is described
a)
Systems Interconnection - The
(in ISO/IEC 9594-3) in terms of the concepts of the
Directory - Part 5: Protocol
information framework: this allows the service
Specifications.
provided to be somewhat independent of the
physical distribution of the DIB;
ISOAEC 9594-6:1990, Information Technology - Open
b) the distributed operation of the Directory is
Systems Interconnection - The
specified (in ISO/IEC 9594-4) so as to provide that
Directory - Part 6: Selected At-
service, and therefore maintain that logical
tribute Types.
information structure, given that the DIB is in fact
highly distributed.
ISOAEC 9594-7: 1990, Information Technology - Open
Systems Interconnection - The
Directory - Part 7: Selected Object
Classes.
2 Normative references
The following standards contain provisions which, through
ISOAEC 9594-8:1990, Information Technology - Open
reference in this text, constitute provisions of this part of
Systems Interconnection - The
ISO/IEC9594. At the time of publication, the editions
Directory - Part 8: Authentication
indicated were valid. All standards are subject to revision,
Framework.
and parties to agreements based on this part of
ISODEC 9594 are encouraged to investigate the possibility
of applying the most recent editions of the standards listed
below. Members of IEC and IS0 maintain registers of
currently valid International Standards.
3 Definitions
Definitions of terms are included at the beginning of
IS0 7498: 1984, Information Processing Systems -
individual clauses, as appropriate. An index of these terms
Open Systems Interconnection -
is provided in annex D for easy reference.
Basic Reference Model.
ISO/IEC 9594-2 : 1990(E)
DIT Directory Information Tree
DMD Directory Management Domain
4 Abbreviations
DSA Directory System Agent
ADDMD Administration Directory Management DUA Directory User Agent
Domain PRDMD Private Directory Management Domain
AVA attribute value assertion RDN Relative Distinguished Name
DIB Directory Information Base
SECTION 2: DIRECTORY MODEL
(DUA), which actually accesses the Directory and interacts
with it to obtain the service on behalf of a particular user.
5 Directory Model
The Directory provides one or more access points at which
such accesses can take place. These concepts are illustrated
5.1 Definitions
in figure 1.
5.1.1 Access Point : the point at which an abstract
service is obtained
Access Point
5.1.2 Administration Directory Management Domain
(ADDMD) : A DMD which is managed by an
Administration.
Note - The term Administration denotes a public
telecommunications administration or other organization
offering public telecommunications services;
5.1.3 Administrative Authority : An entity which has
administrative control over all entries stored within a
~
single Directory System Agent.
Figure 1 - Access to the Directory
5.1.4 the Directory : A repository of information about
The services provided by the Directory are defined
5.2.2
objects, and which provides directory services to its users
in ISODEC 9594-3.
which allow access to the information.
5.2.3 The Directory is a repository of information about
5.1.5 Directory Management Domain (DMD) : A
objects, and the directory services it provides to its users
collection of one or more DSAs and zero or more DUAs
are concerned with various kinds of access to this
which is managed by a single organization.
information. The information is collectively known as the
Directory Information Base (DIB). A model for the DIB is
5.1.6 Directory System Agent (DSA) : An OS1
defined in section three of this part of ISODEC 9594.
application process which is part of the Directory.
5.2.4 A DUA is manifested as an application-process.
5.1.7 (Directory) user : The end user of the Directory,
Each DUA represents precisely one directory user.
i.e., the entity or person which accesses the Directory.
Notes
5.1.8 Directory User Agent (DUA) : An OS1 application
1. Some open systems may provide a centralized DUA
process which represents a user in accessing the Directory.
function retrieving information for the actual users (application-
processes, persons, etc.). This is transparent to the Directory.
Note - DUAs may also provide a range of local facilities to
2 The DUA functions and a DSA (see 5.3.1) can be within
assist users compose queries and interpret the responses.
the same open system, and it is an implementation choice
whether to make one or more DUAs visible within the OS1
5.1.9 Private Directory Management Domain (PRDMD) Environment as application-entities.
: A DMD which is managed by an organization other than
3. A DUA may exhibit local behavior and structure which is
an Administration*.
outside the scope of ISO/IEC 9594. For example, a DUA which
represents a human directory user may provide a range of local
facilities to assist its user to compose queries and interpret the
5.2 The Directory and its Users
responses.
5.2.1 A directory user (e.g., a person or an application-
process) obtains directory services by accessing the
Directory. More precisely, it is a Directory User Agent
ISO/IEC 9594-2 : 1990(E)
different open systems. Such an interaction is carried out
5.3 Functional Model
by means of OS1 Directory protocols, as specified in
5.3.1 The Directory is manifested as a set of one or more
ISO/IEC 9594-5.
application-processes known as Directory System Agents
(DSAs), each of which provides zero, one, or more of the
5.4 Organizational Model
access points. This is illustrated in figure 2. Where the
Directory is composed of more than one DSA, it is said to 5.4.1 A set of one or more DSAs and zero or more
be distributed. The procedures for the operation of the
DUAs managed by a single organization may form a
Directory when it is distributed are specified in
Directory Management Domain (DMD).
ISO/IEC 9594-4.
Note - The organization which manages a DMD may be an
Note - A DSA will likely exhibit local behavior and structure Administration* (i.e., a public telecommunications
which is outside the scope of ISO/IEC 9594. For example, a administration or other organization offering public
DSA which is responsible for holding some or all of the telecommunications services) in which case the DMD is said to
information in the DIB will normally do so by means of a be an Administration DMD (ADDMD); otherwise it is a Private
database, the interface to which is a local matter. DMD (PRDMD). It should be recognized that the provision of
support for private directory systems by CCITT members falls
within the framework of national regulations. Thus, the technical
possibilities described may or may not be offered by an
Administration* which provides directory services. The internal
operation and configuration of private DMDs is not within the
scope of envisaged CCITT Recommendations.
5.4.2 Management of a DUA by a DMD implies an
ongoing responsibility for service to that DUA, e.g.,
maintenance, or in some cases ownership, by the DMD.
5.4.3 The organization concerned may or may not elect
to make use of ISO/IEC 9594 to govern any interactions
among DUAs and DSAs which are wholly within the
DMD.
5.4.4 Each DSA is administered by an Administrative
Authority. This entity has control over all object entries
and alias entries stored by that DSA. This includes
responsibilities for the Directory schema being used to
~~~ ~~
guide the creation and modification of entries (see clause
Figure 2 -The Directory Provided by Multiple DSAs
9). The structure and allocation of names is the
responsibility of a naming authority (see 8.1.6) and the role
5.3.2 A particular pair of application-processes which of the Administrative Authority is to implement these
need to interact in the provision of directory services naming structures in the schema.
(either a DUA and a DSA, or two DSAs) may be located in
SECTION 3: INFORMATION MODEL
6.1.3 Directory Information Tree (DIT): the DIB
considered as a tree, whose vertices (other than the root)
6 Directory Information Base
are the Directory entries.
6.1 Definitions
Note - The term DIT is used instead of DIB only in contexts
6.1.1 alias entry : an entry of the class "alias" containing
where the tree structure of the information is relevant.
information used to provide an alternative name for an
object.
6.1.4 (Directory) entry : a part of the DIB which
contains information about an object.
6.1.2 Directory Information Base (DIB) : the complete
set of information to which the Directory provides access,
6.1.5 immediate superior (noun) : relative to a particular
and which includes all of the pieces of information which
entry or object (it shall be clear from the context which is
can be read or manipulated using the operations of the
intended), the immediately superior entry or object.
Directory.
ISO/IEC 9594-2 : 1990(E)
6.1.6 inzmediately superior which can be read or manipulated by the operations of the
Directory are considered to be included in the DIB.
(entry): relative to a particular entry - an entry which is
at the initial vertex of an arc in the DIT whose final
6.2.3 An object class is an identified family of objects
vertex is that of the particular entry:
(or conceivable objects) which share certain
characteristics. Every object belongs to at least one class.
(object): relative to a particular object - an object whose
object entry is the immediate superior of any of the An object class may be a subclass of another object class,
entries (object or alias) for the second object. in which case the members of the former class (the
subclass) are also considered to be members of the latter
(the superclass). There may be subclasses of subclasses,
6.1.7 object (of interest) : anything in some 'world',
etc., to an arbitrary depth.
generally the world of telecommunications and
information processing or some part thereof, which is
identifiable (can be named), and which it is of interest to
6.3 Directory Entries
hold information on in the DIB.
6.3.1 The DIB is composed of Directory entries (entries)
each containing information about (describing) a single
object class : an identified family of objects (or
6.1.8
object.
conceivable objects) which share certain characteristics.
6.3.2 For any particular object there is precisely one
6.1.9 object entry : an entry which is the primary
object entry, this being the primary collection of e
collection of information in the DIB about an object, and
information in the DIB about that object. The object entry
which can therefore be said to represent that object in the
is said to represent the object.
DIB.
6.3.3 For any particular object there may, in addition to
6.1.10 subclass: relative to a superclass -- an object class
the object entry, be one or more alias entries for that
derived from a superclass. The members of the subclass
object, which are used to provide alternative names (see
share all the characteristics of another object class (the
8.5).
superclass) and additional characteristics possessed by
none of the members of that object class (the superclass).
6.3.4 The structure of directory entries is depicted in
figure 3 and described in 7.2.
6.1.11 subordinate linferiol.: the converse of superior.
6.3.5 Each entry contains an indication of the object
6.1.12 superclass: relative to a subclass -- an object class
class and the superclasses of that object class with which
from which a subclass is derived.
the entry is associated. In the case of an object entry, this
indicates the class(es) to which the object belongs. In the
6.1.13 superior : (applying to entry or object)
case of an alias entry, this indicates (by means of a special
immediately superior, or superior to one which is
object class, "alias" (defined in 9.4.8.2)) that it is in fact an
immediately superior (recursively),
alias entry, and may also indicate to which subclass(es) of
the alias object class the entry belongs.
6.2 Objects
-
6.2.1 The purpose of the Directory is to hold, and 6.4 The Directory Information Tree (DIT)
provide access to, information about objects of interest
6.4.1 In order to satisfy the requirements for the
(objects) which exist in some 'world'. An object can be
distribution and management of a potentially very large
anything in that world which is identifiable (can be
DIB, and to ensure that objects can be unambiguously
named).
named (see clause S), and their entries found, a flat
Notes structure of entries is not likely to be feasible.
Accordingly, the hierarchical relationship commonly
1. The 'world' is generally that of telecommunications and
found among objects (e.g., a person works for a
information processing or some part thereof.
department, which belongs to an organization, which is
2 The objects known to the Directory may not correspond
headquartered in a country) can be exploited, by the
exactly with the set of 'real' things in the world. For example, a
arrangement of the entries into a tree, known as the
real-world person may be regarded as two different objects, a
Directory Information Tree (DIT).
business person and a residential person, as far as the Directory
is concerned. The mapping is not defined in ISO/IEC 9594, but
Note - An introduction to the concepts and terminology of tree
is a matter for the users and providers of the Directory in the
structures can be found in annex A.
context of their applications.
6.4.2 The component parts of the DIT have the
6.2.2 The complete set of information to which the following interpretations:
Directory provides access is known as the Directory
the vertices are the entries. Object entries may be
a)
Znfornzation Base (DIB). All of the pieces of information
either leaf or non-leaf vertices, whereas alias entries
ISO/IEC 9594-2 : 199O(E)
suitable value. Although the attribute types in the examples are
are always leaf vertices. The root is not an entry as
often based upon real types, such as those defined in
such, but can, where convenient to do so (e.g., in the
ISO/IEC 9594-7 (e.g., "C" stands for "Country", CN for
definitions of (b) and (c) below), be viewed as a null
"Common Name"), this is not strictly necessary for the purposes
object entry (see (d) below);
of this document, as the Directory is usually unaware of the
meanings of the attribute types in use.
b) the arcs define the relationship between vertices
(and hence entries). An arc from vertex A to vertex
7.1.5 distinguished value : an attribute value in an entry
B means that that the entry at A is the immediately
which has been designated to appear in the relative
superior entry (immediate superior) of the entry at
B, and conversely, that the entry at B is an distinguished name of the entry.
immediately subordinate entry (immediate
subordinate) of the entry at A. The superior entries
7.2 Overall Structure
(superiors) of a particular entry are its immediate
7.2.1 As depicted in figure 3, an entry consists of a set of
superior together with & superiors (recursively).
attributes.
The subordinate entries (subordinates) of a
particular entry are its immediate subordinates
together with their subordinates (recursively);
ENTRY
the object represented by an entry is, or is closely
c)
ttribute 0 0 O ttribute
associated with, the naming authority (see clause 8)
bz1
for its subordinates;
the root represents the highest level of naming
d)
A
authority for the DIB.
1 ATTRIBUTE \
6.4.3 A superiorlsubordinate relationship between
objects can be derived from that between entries. An
object is an immediately superior object (immediate
superior) of another object if and only if the object entry
for the first object is the immediate superior of any of the
entries for the second object. The terms immediately
subordinate object, immediate subordinate, superior and
subordinate (applied to objects) have their analogous
meanings.
6.4.4 Permitted superiorlsubordinate relationships
among objects are governed by the DIT structure
definitions (see 9.2).
Figure 3 -Structure of an Entry
7 Directory Entries
7.2.2 Each attribute provides a piece of information
about, or describes a particular characteristic of, the object
7.1 Definitions
to which the entry corresponds.
7.1.1 attribute : the information of a particular type
Note - Examples of attributes which might be present in an entry
concerning an object and appearing in an entry describing
include naming information such as the object's personal name,
that object in the DIB.
and addressing information, such as its telephone number.
7.1.2 attribute type : that component of an attribute
7.2.3 An attribute consists of an attribute type, which
which indicates the class of information given by that
identifies the class of information given by an attribute,
attribute.
and the corresponding attribute value(s), which are the
particular instances of that class appearing in the entry
7.1.3 attribute value : a particular instance of the class of
information indicated by an attribute type.
Attribute ::=
SEQUENCE {
type AttributeType,
7.1.4 attribute value assertion : a proposition, which
values SET OF Attributevalue
may be true, false, or undefined, concerning the values (or
- - at least une value is required - - }
perhaps only the distinguished values) of an entry.
Note - In this document the notation "string1 = string2" is used 7.3 Attribute Types
to write down examples of attribute value assertions. In this
7.3.1 Some attribute types will be internationally
notation, "stringl" is an abbreviation for the 'name' of the
standardized. Other attribute types will be defined by
attribute type, and "string2" is a textual representation of a
ISO/IEC 9594-2 : 1990(E)
2 the attribute syntax for the type has no equality
national administrative authorities and private
organizations. This implies that a number of separate matching rule,
authorities will be responsible for assigning types in a way
3) the value does not conform to the data type of
that ensures that each is distinct from all other assigned
the attribute syntax;
types. This is accomplished by identifying each attribute
Note - 2) and 3) normally indicate a faulty AVA; 1),
type with an object identifier when the type is defined (as
however, may occur as a local situation (e.g., a particular
described in 9.5):
DSA has not registered that particular attribute type).
AttributeType ::= OBJECT IDENTIFIER
b) true, if the entry contains an attribute of that type,
one of whose values matches that value (if the
7.3.2 All attributes in an entry shall be of distinct
assertion is concerned only with distinguished
attribute types.
values, then the matched value shall be the
distinguished one);
7.3.3 There are a number of attribute types which the
Directory knows about and uses for its own purposes. Note - The matching of values is for equality, and involves the
matching rule associated with the attribute syntax.
They include:
Objectclass - An attribute of this type appears in
a)
c) false, otherwise.
every entry, and indicates the object class and
superclass(es) to which the object belongs.
b) AliasedObjectName - An attribute of this type
8 Names
appears in every alias entry, and holds the
distinguished name (see 8.5) of the object which
8.1 Definitions
this alias entry describes.
8.1.1 alias, alias nanze: a name for an object, provided
by the use of one or more alias entries in the DIT.
These attributes are (partially) defined in 9.5.4.
8.1.2 dereferencing : replacing the alias name for an
7.3.4 The types of attributes which shall or which may
object by the object’s distinguished name.
appear within an entry (other than as mentioned in 7.3.3)
are governed by rules applying to the indicated object
8.1.3 distinguished nunze (of an object): one of the
class(es).
names of the object, formed from the sequence of the
RDNs of the object entry and each of its superior entries.
7.4 Attribute Values
7.4.1 Defining an attribute type (see 9.5) also involves
8.1.4 (directory) name : a construct that singles out a
specifying the syntax, and hence data type, to which every
particular object from all other objects. A name shall be
value in such attributes shall conform. This could be any
unambiguous (that is, denote just one object), however it
data type:
need not be unique (that is, be the only name which
unambiguously denotes the object).
Attributevalue ::= ANY
8.1.5 purported name : a construct which is syntactically
7.4.2 At most one of the values of an attribute may be
a name, but which has not (yet) been shown to be a valid
designated as a distinguished value, in which case the
name.
attribute value appears in the relative distinguished name
(see 8.3) of the entry.
8.1.6 naming authority : an authority responsible for the
allocation of names. Each object whose object entry is
7.4.3 An attribute value assertion (A VA) is a
located at a non-leaf vertex in the DIT is, or is closely
proposition, which may be true, false, or undefined,
associated with, a naming-authority.
concerning the values (or perhaps only the distinguished
values) of an entry. It involves an attribute type and an
8.1.7 relative distinguished name (RDN): a set of
attribute value
attribute value assertions, each of which is true, concerning
the distinguished values of a particular entry.
AttributeValueAssertion :=
SEQUENCE {AtîributeType, AttributeValuel
8.2 Names in General
and is:
8.2.1 A (directory) name is a construct that identifies a
particular object from among the set of all objects. A name
undefined, if any of the following holds:
a)
shall be unambiguous, that is, denote just one object.
However, a name need not be unique, that is be the only
1) the attribute type is unknown,
name that unambiguously denotes the object.
ISO/IEC 9594-2 : 1990(E)
in the Directory itself) without concerns for their obsolescence.
8.2.2 Syntactically, each name for an object is an
Thus RDNs should be changed cautiously.
ordered sequence of relative distinguished names (see 8.3).
Name ::=
8.4 Distinguished Names
CHOICE { - - only one possibility for now - -
RDNSequence 1
8.4.1 The distinguished name of a given object is
defined as being the sequence of the RDNs of the entry
RDNSequence ::= SEQUENCE OF
RelativeDistinguishedName which represents the object and those of all of its superior
entries (in descending order). Because of the one to one
DisiinguishedName ::= RDNSequence
correspondence between objects and object entries, the
Note- Names which are formed in other ways than as described distinguished name of an object can be considered to also
herein are a possible future extension.
identify the object entry.
Notes
The null sequence is the name for the root of the
8.2.3
1 It is preferable that the distinguished names of objects
tree.
which humans have to deal with be user-friendly.
8.2.4 Each initial subsequence of the name of an object
2 IS0 7498-3 defines the concept of a primitive name. A
is also the name of an object. The sequence of objects so distinguished name can be used as a primitive name for the
object it identifies because: (a) it is unambiguous, (b) it is
identified, starting with the root and ending with the object
unique, and (c) the semantics of its internal structure (a
being named, is such that each is the immediate superior of
scquence of RDNs) need not (but of course may) be understood
that which follows it in the sequence.
by the user of the Directory.
3 Because only the object entry and its superiors are
8.2.5 A purported name is a construct which is
involved, distinguished names of objects can never involve alias
syntactically a name, but which has not (yet) been shown
entries.
to be a valid name.
8.4.2 It proves convenient to define the 'distinguished
name' of the root and of an alias entry, although in neither
8.3 Relative Distinguished Names
case is the name also the distinguished name of an object.
8.3.1 Each entry has a unique relative distinguished
The distinguished name of the root is defined to be the null
name (RDN). An RDN consists of a set of attribute value
sequence. The distinguished name of an alias entry is
assertions, each of which is true, concerning the
defined to be the sequence of RDNs of the alias entry and
distinguished values of the entry.
those of all of its superior entries (in descending order).
RelativeDistinguishedName ::=
~ 8.4.3 An example which illustrates the concepts of RDN
SET OF AttributeValueAsseriion
and distinguished name appears in figure 4.
The set contains exactly one assertion about each
RDN Distinguished Name
distinguished value in the entry.
ROOT I I
8.3.2 The RDNs of all of the entries with a particular
immediate superior are distinct. It is the responsibility of
the relevant naming authority for that entry to ensure that
this is so by appropriately assigning distinguished attribute
values.
Organizations
O=Telecom {C=GB, O=Telecom)
Note - Frequently, an entry will contain a single distinguished
value (and the RDN will thus comprise a single AVA); however,
3rganizational Units
{C=GB, O=Telecom,
under certain circumstances (in order to differentiate), additional (OU=Sales,
(OU=Sales, L=lpswich))
values (and hence AVAs) may be used. L=lpçwich)
{CsGB, O=Telecom,
8.3.3 The RDN for an entry is chosen when the entry is
d h CN=Smith (OU=Sales, L=lpswich),
created. A single value instance of any attribute type may
CN=Smith)
form part of the RDN, depending on the nature of the
~-~~ ~~ ~
object class denoted. Allocation of RDNs is considered an
Figure 4 -Determination of Distinguished Names
administrative undertaking that may or may not requise
some negotiation between involved organizations or
8.5 Alias Names
administrations. This part of ISO/IEC 9594 does not
provide such a negotiation mechanism, and makes no
8.5.1 An alias, or an alias name, for an object is a name
assumption as to how it is performed. The RDN may be
at least one of whose RDNs is that of an alias entry.
modified if necessary by complete replacement.
Aliases permit object entries to achieve the effect of
having multiple immediate superiors. Therefore, aliases
Note - RDNs are intended to be long-lived so that the users of
provide a basis for alternative names.
the Directory can store the distinguished names of objects (e.g.,
ISO/IEC 9594-2 : 1990(E)
9.2.2 Formally , the Directory Schema comprises a set of
8.5.2 Just as the distinguished name of an object
expresses its principal relationship to some hierarchy of
a) DIT Structure definitions (rules) that define the
objects, so an alias expresses (in the general case) an
distinguished names that entries may have and the
alternative relationship to an different hierarchy of objects.
ways in which they may be related to one another
through the DIT.
8.5.3 An object with an entry in the DIT may have zero
b) Object Class definitions that define the set of
or more aliases. It, therefore, follows that several alias
mandatory and optional attributes that shall be
entries may point to the same object entry. An alias entry
present, and may be present, respectively, in an
may point to an object entry that is not a leaf entry. Only
entry of a given class (see 6.2.3 of ISO/IEC 9594-
object entries may have aliases. Thus aliases of aliases are
not permitted.
2).
c) Attribute Type definitions that identify the object
An alias entry shall have no subordinates, that is,
8.5.4
identifier by which an attribute is known, its syntax,
an alias entry is a leaf entry.
and whether it is permitted to have multiple values.
8.5.5 The Directory makes use of the aliased object d) Attribute Syntax definitions that define for each
attribute the underlying ASN.1 data type and
name attribute in an alias entry to identify and to find the
matching rules.
corresponding object entry.
Figure 5 summarizes the relationships between the schema
definitions on the one side, and the DIT, directory entries,
9 Directory Schema
attributes, and attribute values on the other.
9.1 Definitions
9.2.3 The Directory Schema is distributed, like the DIB
9.1.1 Directory Schema: The set of rules and constraints
itself. Each Adniinistrative Authority establishes the part
concerning DIT structure, object class definitions, attribute
of the schema that will apply for those portions of the DIB
types and syntaxes which characterize the DIB.
administered by the authority.
9.1.2 DIT Sn-ucture Rule: A rule, forming part of the Note - Distribution of schema information across DSAs managed
by different Administrative Authorities is not supported by this
Directory Schema, which relates an object class (the
version of ISO/IEC 9594. Such distribution is handled adminis-
subordinate) to another object class (the superior) and
tratively by bilateral agreements.
which allows an entry of the former class to be
immediately subordinate to one of the latter classes in the
9.2.4 The specification of what is involved in the definition
DIT. The rule also governs the attribute type(s) permitted
of DIT structure, object classes, attribute types and
to appear in the (subordinate) entry's RDN, and may
attribute syntaxes can be found in 9.3 through 9.6
impose additional conditions. The schema may contain
respectively.
many such rules.
9.2 Overview
Definitions DIT elements
9.2.1 The Directory Schema is a set of definitions and
DIT
constraints concerning the structure of the DIT and the
possible ways entries are named, the information that can
belongs to
be held in an entry, and the attributes used to represent that
information.
Entries
Notes
1 The schema enables the directory system to, for example:
prevent the creation of subordinate entries of the wrong
object-class (e.g., a country as a subordinate of a
uses 4
belongs to?
person);
prevent the addition of attribute-types to an entry
inappropriate to the object-class (e.g., a serial number
to a person's entry);
Figure 5 - Overview of Directory Schema
prevent the addition of an attribute value of a syntax
not matching that defined for the attribute-type (e.g., a
9.3 DIT Structure Definition
printable string to a bit string).
9.3.1 A DIT Structure Rule defines the permitted
2 Dynamic mechanisms for the management of the directory
hierarchical relationships between entries, and their
schema are not presently provided by ISO/IEC 9594.
ISO/IEC 9594-2 : 1990(E)
permitted RDNs. The definition of a DIT Structure Rule
d) listing the optional attribute types that an entry of
involves: the object class may contain in addition to the
optional attributes of all its superclasses.
identifying the subordinate and superior object
classes;
Note -- An object class without an assigned object identifier is
intended for local use as a means of conveniently adding new
identifying the attribute types which may be
attribute types to a pre-defined superclass. This addition allows
involved in subordinate entries' RDNs; and
for a number of possibilities. For example, an Administrative
authority may define an unregistered Object Class so as to
(optionally) additional information.
permit a user to add any registered attribute to the entry. The
Administrative authority may limit the attributes for an entry for
9.3.2 The Directory permits an entry to stand in the
a particular object class to those on a locally held list. It may
relationship of immediate subordinate to another (its
also make particular attributes mandatory for a particular object
immediate superior) only if there exists a DIT structure
class, over and above those required by the registered object
rule, contained in the schema (see 9.2.3) applicable to the
class definition.
portion of the DIB that would contain the entry, for which:
9.4.2 There is one special object class, of which every
the entry is of the subordinate object class;
other class is a subclass. This object class is called Top and
the immediate superior of the entry is of the
is defined in 9.4.8.1.
superior object class;
9.4.3 Every entry shall contain an attribute of type object
the attribute type(s) forming the entry's RDN is
class to identify the object class and superclasses to which
(are) among those permitted;
the entry belongs. The definition of this attribute is given
any conditions imposed by the additional
in 9.5.4. The attribute is multivalued. There shall be one
information are satisfied.
value of the attribute for the object class and each of its
superclasses for which an object identifier is defined,
Notes
except that the value of Top need not be present so long as
1. Techniques for documenting DIT Structure or for some other value is present.
rcpresenting structure rules in thc DIB arc not presently
providcd by ISO/IEC 9594.
Notes
2. if a DIT Structure rule permits subordinates or supcriors
1. The requirement that the Objectclass attribute be
bclonging to a particular class, it implicitly (unless cxplicitly
present in every entry is reflected in the definition of Top.
overridden) also allows subordinates or superiors belonging to
2 Because an object class is considered to belong to all its
any object class derivcd from that class (see 9.4).
superclasses, each member of the chain of superclasses up to
9.3.3 The Directory enforces the defined structure rules Top is represented by a value in the object class attribute (and
at every entry in the DIT. Any attempt to modify the DIT any value in the chain may be matched by a filter).
in such a way as to violate the applicable structure rules
The ObjectClass attribute is managed by the Directory,
fails.
i.e., it may not be modified by the user.
9.3.4 A DIT Structure Rule in which an object class is
9.4.4 The Directory enforces the defined object class for
0 the subordinate is termed a name binding for that object
every entry in the DIB. Any attempt to modify an entry
class.
that would violate the entry's object class definition fails.
9.3.5 For an object class to be represented by entries in a
Note - In particular, the Directory will prevent:
portion of the DIB, at least one name binding for that
a) attribute types absent from the object class definition being
object class shall be contained in the applicable part of the
added to an entry of that object class;
schema. The schema contains additional name bindings as
required. b) an entry being created with one or more absent mandatory
attribute types for the object class of the entry;
9.4 Object Class Definition c) a mandatory attribute type for the object class of the entry being
deleted.
9.4.1 The definition of an object-class involves:
9.4.5 The special object class Alias is defined in 9.4.8.2.
a) optionally, assigning an object-identifier for the
Every alias entry shall have an object class which is a
object-class;
subclass of this class.
b) indicating which classes this is to be a subclass of;
Note- The Directory's dereferencing of alias entrics ensures that
c) listing the nzundutory attribute types that an entry
the values of the Objectclass attribute of an alias entry arc rarely
of the object class shall contain in addition to the
seen. It is recommended that appropriate alias object classes be
mandatory attribute types of all its superclasses;
derived from Alias without assigning an object identifier.
ISO/IEC 9594-2 : 1990(E)
notation ("OBJECT-CLASS") can be used to denote any possible
9.4.6 The following ASN.l macro may (but need not) be
object class.
used to define an object class. The empty production for
SubcIassOf is permitted only in defining Top:
9.4.7 An attribute
...
ISOKEI
I NTE R NATIONALE
Première édition
1990-1 2-1 5
Techno I og i es de I 'i n form at ion - Interconnexion
de systèmes ouverts - L'Annuaire -
Partie 2:
Modèles
Information tech
fogy - Open Systems Interconnection - The
Directoty -
Part 2: Models
Numéro de référence
ISOKEI 9594-2:1990(F)
ISO/CEJ 9594-2 : 1990 (F)
O ISO/CEI 1990
Droits de reprodudion réservés. Aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que œ soit et par aucun procédé, électronique ou mécanique, y compris la
photocopie et les microfilms, sans l'accord écrit de l'éditeur.
ISOCEI Copyright Office 0 Case postale 56 CH 121 1 Genève 20 Suisse
Version française tirée en 1991
Imprimé en Suisse
ii
ISO/CEI 9594-2 : 1990 (F)
Sommaire
Page
iv
Avant-propos .
V
Introduction .
Section 1 : Généralités
1 Domaine d'application .
2 Références normatives .
3 Définitions .
4 Abréviations .
Section 2 : Modèle d'Annuaire
5 Modèle d'Annuaire .
Section 3 : Modèle d'informations
6 Base d'informations d'Annuaire .
7 Entrées d'Annuaire .
8 Noms .
9 Schéma d'Annuaire .
Section 4 : Modèle de sécurité
10 Sécurité .
Annexe A - Notions d'arbres .
Annexe B - Utilisation de OBJECT IDENTIFIER .
Annexe C - Module ASN.l Information Framework .
Annexe D - Index alphabétique des définitions .
Annexe E - Critères de conception des noms .
Annexe F - Contrôle d'accès .
iii
ISO/CEI 9594-2 : 1990 (FI
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à
la normalisation internationale considérée comme un tout. Les organismes
nationaux membres de I'ISO ou de la CE1 participent au développement de
Normes internationales par l'intermédiaire des comités techniques créés par
l'organisation concernée afin de s'occuper des différents domaines particu-
liers de l'activité technique. Les comités techniques de I'ISO et de la CE1 col-
laborent dans les domaines d'intérêt commun. D'autres organisations
internationales, gouvernementales ou non gouvernementales, en liaison
avec I'ISO et la CE1 participent également aux travaux.
Dans le domaine des technologies de I'informationi, I'ISO et la CE1 ont créé
un comité technique mixte, i'iSO/CEI JTC 1. Les projets de Normes interna-
tionales adoptés par le comité technique mixte sont soumis aux organismes
nationaux pour approbation, avant leur acceptation comme Normes interna-
tionales. Les Normes internationales sont approuvées conformément aux
procédures qui requièrent l'approbation de 75 % au moins des organismes
nationaux votants.
La Norme internationale ISO/CEI 9594-2 a été élaborée par le comité techni-
que mixte ISOKEI JTC 1, Technologies de l'information
Sous le titre général Technologies de l'information - Interconnexion de
systèmes ouverts - l'Annuaire, I'ISO/CEI 9594 est composée des parties
suivantes :
- Partie 1 : Aperçu général des concepts, modèles et services
- Partie 2 : Modèles
- Partie 3 : Définition de service abstrait
- Partie 4 : Procédures d'exploitation répartie
- Partie 5 : Spécifications de protocoles
- Partie 6 : Types d'attribut sélectionnés
- Partie 7 : Classes d'objet sélectionnées
- Partie 8 : Cadre général d'authentification
Les annexes B et C de la présente partie de I'ISO/CEI 9594 sont normatives.
Les annexes A, D, E et F sont informatives.
iv
lSOlCEl9594-2 : 1990 (F)
Introduction
0.1 La présente partie de I’ISO/CEI 9594, ainsi que les autres parties ont été élaborées pour faciliter I‘inter-
connexion de systèmes de traitement de l’information pour fournir des services d’Annuaire. L‘ensemble de
ces systèmes, ainsi que les informations d‘Annuaire qu’ils contiennent, peuvent être considérés comme un
tout intégré, appelé cd’Annuairen. Les informations détenues par l’Annuaire, appelées «Base d’informa-
tions d‘Annuaire» (DIB), sont généralement utilisées pour faciliter la communication entre, avec ou sur des
objets tels que entités d‘application, personnes, terminaux, listes de diffusion.
0.2 L’Annuaire joue un rôle important dans l’interconnexion de systèmes ouverts dont le but est de per-
mettre, moyennant un minimum d’accords techniques en dehors des normes d’interconnexion propre-
ment dites, l’interconnexion de systèmes de traitement de l’information :
e provenant de divers fabricants ;
e gérés différemment ;
e de niveaux de complexité différents ; et
d’âges différents.
0.3 La présente partie de I‘ISO/CEI 9594 fournit plusieurs modèles différents d‘Annuaire afin qu’ils servent
de cadre aux autres parties de I’ISO/CEI 9594. II s‘agit du modèle général (fonctionnel), du modèle organi-
sationnel, du modèle de sécurité et du modèle d‘informations. Ce dernier décrit la manière dont sont orga-
nisées les informations contenues dans l’Annuaire ; par exemple, comment les informations sur les objets
sont groupées en vue de former des entrées d’Annuaire pour ces objets et comment ces informations four-
nissent des noms pour les objets.
0.4 L’annexe A résume la terminologie mathématique relative aux structures arborescentes.
0.5 L’annexe B présente le type ASN.l OBJECT IDENTIFIER utilisé dans I’ISO/CEI 9594.
0.6 L’annexe C présente le module ASN.1 qui contient toutes les définitions relatives au cadre général
d’informations.
0.7 L’annexe D donne, par ordre alphabétique, la liste des termes définis dans I‘ISO/CEI 9594.
0.8 L‘annexe E décrit quelques critères qui peuvent être pris en considération dans la conception des
noms.
0.9 L‘annexe F donne les lignes directrices pour le contrôle d’accès.
~ ~~
NORME INTERNATIONALE
ISO/CEI 9594-2 : 1990 (F)
Technologies de l'information - Interconnexion de
systèmes ouverts - L'Annuaire
Partie 2 :
Modèles
Section 1 : Généralités
la présente partie de I'ISO/CEI 9594. Au moment
1 Domaine d'application
de la publication, les éditions indiquées étaient
en vigueur. Toute norme est sujette à révision st
1.1 Les modèles présentés dans la présente
les parties prenantes des accords fondés sur la
partie de I'ISO/CEI 9594 fournissent un cadre
présente partie de I'ISOKEI 9594 sont invitées à
conceptuel et terminologique pour les autres
rechercher la possibilité d'appliquer les éditions
parties où sont définis divers aspects de I'An-
les plus récentes des normes indiquées ci-après.
nuaire.
Les membres de la CE1 et de I'ISO possèdent le
registre des Normes internationales en vigueur à
1.2 Les modèles fonctionnel et organisationnel un moment donné.
définissent la façon dont l'Annuaire peut être
IS0 7498:1984, Systèmes de traitement de
réparti, tant du point de vue fonctionnel que du
l'information - Intercon-
point de vue administratif.
nexion de systèmes
ouverts - Modèle de réfé-
1.3 Le modèle de sécurité définit le cadre dans
rence de base.
lequel les fonctions de sécurité, telles que le
contrôle d'accès, sont assurées dans l'Annuaire,
ISO/CEI 8824: 1990, Technologies de I'informa-
tion - Interconnexion de
systèmes ouverts - Spéci-
1.4 Le modèle d'informations décrit la struc-
fication de la notation de
ture logique de la DIB. De ce point de vue, le
syntaxe abstraite numéro 1
fait que l'Annuaire soit réparti, au lieu d'être
(ASN. 1).
centralisé, n'est pas visible. Les autres parties
de i'ISO/CEI 9594 utilisent les concepts du
ISOKEI 9594-1:1990, Systèmes de traitement de
cadre d'informations, notamment :
l'information - Intercon-
nexion de systèmes
a) le service offert par l'Annuaire est décrit
ouverts -Partie 1 :Aperçu
dans I'ISO/CEI 9594-3 en fonction des
général des concepts,
concepts du cadre d'informations : cela per-
modèles et services.
met au service assuré d'être relativement
indépendant de la répartition physique de
ISOKEI 9594-3:1990, Systèmes de traitement de
la DIB ;
l'information - Intercon-
nexion de systèmes
b) l'exploitation répartie de l'Annuaire est
ouverts - L'Annuaire -
spécifiée dans I'ISOKEI 9594-4 en sorte d'as-
Partie 3 : Définition de ser-
surer ce service tout en maintenant cette
vice abstrait.
structure d'informations logique, étant donné
que la DIB est en fait très largement répartie.
ISOKEI 9594-4:1990, Systèmes de traitement de
l'in formation - In terco n-
nexion de systèmes
2 Références normatives
ouverts - L'Annuaire -
Partie 4 : Procédures d'ex-
Les normes suivantes contiennent des disposi-
ploitation répartie.
de la référence qui est en
tions qui, par suite
faite, constituent des dispositions valables pour
ISO/CEI 9594-2 : 1990 (FI
ISO/CEI 9594-5: 1990, Systèmes de traitement de 4 Abréviations
l'information - Intercon-
nexion de systèmes
NOTE - Les abréviations utilisées sont celles de la
ouverts - L'Annuaire -
version anglaise. Dans le présent article, on donne la
Partie 5 : Spécifications de
forme de ces abréviations développée en français.
protocole.
La forme anglaise est indiquée entre parenthèses
a la compréhension.
pour aider
ISO/CEI 9594-6:1990, Systèmes de traitement de
l'information - Intercon-
ADDMD Domaine de gestion d'Annuaire public
nexion de systèmes
(Administration Directory Management
ouverts - L'Annuaire -
Domain)
Partie 6 : Types d'attribut
sélectionnés. AVA Assertion de valeur d'attribut
(Attribute value assertion)
ISO/CEI 9594-7:1990, Systèmes de traitement de
l'information - Intercon- DIB Base d'informations d'Annuaire
nexion de systèmes (Directory Information Base)
ouverts - L'Annuaire -
DIT Arbre d'informations d'Annuaire
Partie 7 : Classes d'objet
(Directory Information Tree)
sélection nées.
DMD Domaine de gestion d'Annuaire
ISO/CEI 9594-8:1990, Systèmes de traitement de
(Directory Management Domain)
l'information - Intercon-
nexion de systèmes
DSA Agent de système d'Annuaire
ouverts - L'Annuaire -
(Directory System Agent)
Partie 8 : Cadre général
d'authentification.
DUA Agent d'utilisateur d'Annuaire
(Directory User Agent)
3 Définitions
PRDMD Domaine de gestion d'Annuaire privé
(Private Directory Management
Domain)
Les définitions des termes sont, le cas échéant,
données au début des divers paragraphes. Un
RDN Nom distinctif relatif
index de ces termes est fourni, pour plus de
(Relative Distinguished Name)
commodité, dans l'annexe D.
Section 2 : Modèle d'Annuaire
d'Annuaire permettant d'accéder aux informa-
5 Modèle d'Annuaire
tions.
5.1 Définitions
5.1.5 domaine de gestion d'Annuaire (DMD) :
Ensemble d'un ou plusieurs DSA avec ou sans
5.1.1 point d'accès : Point auquel est obtenu un
DUA, géré par une seule organisation.
service abstrait.
5.1.6 agent de système d'annuaire IDSA) : Pro-
5.1.2 domaine de gestion d'Annuaire public
cessus d'application OS1 qui fait partie de I'An-
(ADDMD) : DMD géré par une administration.
nuaire.
NOTE - Le terme «adminiStratiOn» désigne une
5.1.7 utilisateur (de l'Annuaire) : Utilisateur
administration publique de télécommunications ou
final de l'Annuaire c'est-à-dire entité ou per-
une autre organisation offrant des services publics
sonne qui accède à l'Annuaire.
de té1 écomm un ications.
5.1.8 agent d'utilisateur d'Annuaire (DUA) :
5.1.3 autorité administrative : Entité exerçant
Processus d'application OS1 qui représente un
un contrôle administratif sur toutes les entrées
utilisateur dans I'accés à l'Annuaire.
stockées dans un seul agent de système d'An-
nuaire.
NOTE - Les DUA peuvent offrir également diverses
facilités locales pour aider les utilisateurs à compo-
5.1.4 l'Annuaire : Ensemble d'informations sur
ser les demandes et à interpréter les réponses.
des objets qui offre à ses Utilisateurs des services
ISO/CEI 9594-2 : 1990 (FI
5.1.9 domaine de gestion d’Annuaire privé 3 Un DUA peut avoir localement un comportement et
une structure dont la description est en dehors du
(PRDMD) : DMD géré par une organisation autre
domaine d’application de I‘ISOICEI 9594. Par exemple,
qu‘une administration.
un DUA représentant un utilisateur d‘Annuaire humain
peut fournir localement diverses facilités pour aider cet
5.2 L‘Annuaire et ses utilisateurs
utilisateur à composer des demandes et à interpréter les
réponses.
5.2.1 Un utilisateur d‘Annuaire (par exemple
une personne ou un processus d’application)
5.3 Modèle fonctionnel
obtient des services d‘Annuaire en accédant à
l’Annuaire. Plus précisément, un agent d’utilisa-
5.3.1 L‘Annuaire se présente sous la forme d‘un
teur d’Annuaire (DUA) accède effectivement à
ensemble d’un ou de plusieurs processus d’ap-
l’Annuaire et entre en interaction avec lui pour
plication connus sous l‘expression «agents de
obtenir le service au nom d‘un utilisateur. L’An-
système d‘Annuaire (DSAb, chacun d‘eux
nuaire fournit un ou plusieurs points d‘accès
offrant un ou plusieurs points d’accès, comme
auxquels cet accès peut s‘effectuer. Ces concepts
l’illustre la figure 2. Lorsque l’Annuaire se com-
sont illustrés par la figure 1.
pose de plusieurs DSA, on dit qu‘il est réparti.
Les procédures d‘exploitation de l’Annuaire,
lorsque celui-ci est réparti, sont spécifiées dans
I’ISO/CEI 9594-4.
NOTE - Un DSA aura probablement, localement, un
Point d‘accès
comportement et une structure dont la description
-7
est en dehors du domaine d‘application de I‘ISO/CEI
9594. Par exemple, un DSA chargé de détenir une
partie ou la totalité des informations de la DIB le fera
normalement à l’aide d’une base de données dont
l’interface relève d’une initiative locale.
Figure 1 - Accès à l’Annuaire
5.2.2 Les services fournis par l‘Annuaire sont
définis dans I’ISO/CEI 9594-3.
5.2.3 L’Annuaire est un ensemble d’informa-
tions relatives à des objets et les services d’An-
nuaire qu‘il offre à ses utilisateurs se rapportent
aux divers types d’accès à ces informations qui
sont connues sous le nom de base d’informa-
tions d’Annuaire (DIB). Un modèle de DIB est
défini dans la section 3 de la présente partie de
I’ISO/CEI 9594.
5.2.4 Un DUA est un processus d’application.
Chaque DUA ne représente qu‘un seul utilisateur
d‘An nu ai re.
Figure 2 - Service d‘Annuaire fourni par
NOTES
plusieurs DSA
1 Certains systèmes ouverts peuvent fournir une fonc-
tion de DUA centralisée pour la recherche d’informa-
5.3.2 Deux processus d’application donnés
tions pour les utilisateurs réels (processus d‘application,
devant agir ensemble pour fournir des services
utilisateurs humains). Ceci est transparent à l’Annuaire.
d‘Annuaire (soit un DUA et un DSA, soit deux
DSA) peuvent être situés dans différents systè-
2 Les fonctions de DUA et un DSA (voir 5.3.1) peuvent
mes ouverts. L‘interaction entre ces processus
résider dans le même système ouvert ; le fait de rendre
d’application est réalisée par des protocoles
un ou plusieurs DUA visibles dans l’environnement OSI,
d’Annuaire OS1 spécifiés par I’ISO/CEI 9594-5.
en tant qu’entités d’application, relève d’une initiative
locale.
ISO/CEI 9594-2 : 1990 (FI
5.4.2 La gestion d'un DUA par un DMD implique
5.4 Modèle organisationnel
une obligation permanente de service à ce DUA.
5.4.1 Un ensemble d'un ou de plusieurs DSA
Par exemple, la maintenance ou, dans certains
avec ou sans DUA, géré par une seule organisa-
cas, la propriété par le DMD. .
tion, peut former un domaine de gestion d'An-
nuaire (DMD).
5.4.3 L'organisation concernée peut ou non
décider d'utiliser I'ISOKEI 9594 pour régir les
NOTE - L'organisation qui gère un DMD peut être
interactions entre DUA et DSA entièrement loca-
une administration (c'est-à-dire, une administration
lisés à l'intérieur du DMD.
publique des télécommunications ou une autre
organisation offrant des services publics de telecom-
; dans ce cas, le DMD est appelé DMD 5.4.4 Chaque DSA est administré par une auto-
munications)
public (ADDMD) ; autrement c'est un DMD privé rité administrative. Cette entité contrôle toutes les
(PRDMD). La fourniture de services d'Annuaire pri-
entrées-objets et les entrées-pseudonymes stoc-
vés par des membres du CCllT est réalisée dans le
kées par ce DSA. Cette fonction de contrôle inclut
cadre des règlements nationaux. Ainsi, les possibili-
la responsabilité du choix du schéma d'Annuaire
tés techniques décrites peuvent ou non être offertes
à utiliser pour guider la création et la modification
par une administration fournissant des services
des entrées (voir article 9). Une autorité de déno-
d'Annuaire. Le fonctionnement interne et la configu-
mination est responsable de la structure et de I'at-
ration de DMD privés sont en dehors du domaine
tribution des noms (voir paragraphe 8.1.6) et le
CCITT.
d'application des Recommandations du
rôle de l'autorité administrative est de mettre en
œuvre ces structures de dénomination dans le
schéma d'Annuaire.
e d'informations
Section 3 : M odè
6.1.5.2 (objet) immédiatement supérieur : Par
6 Base d'informations d'Annuaire
rapport à un objet donné, objet dont I'entrée-ob-
6.1 Définitions
jet est l'entrée immédiatement supérieure de
n'importe laquelle des entrées (objet ou pseudo-
6.1.1 entrée-pseudonyme : Entrée de la classe
nyme) pour le second objet.
((pseudonyme)) contenant des informations ser-
vant à donner un nom de remplacement à un
6.1.7 objet (d'intérêt) : Tout ce qui, dans un cer-
objet.
tain monde, généralement le monde des télé-
communications et du traitement de I'informa-
6.1.2 base d'informations d'Annuaire (DIB) :
tion, ou une partie de ce monde, est identifiable
Ensemble des informations auxquelles I'An-
(qui peut être nommé) et sur quoi il est intéres-
nuaire assure l'accès ; cet ensemble comprend
sant de détenir des informations dans la DIB.
toutes les informations qui peuvent être lues ou
manipulées à l'aide des opérations d'Annuaire.
6.1.8 classe d'objet : Famille identifiée d'objets
(ou d'objets imaginables) partageant certaines
6.1.3 arbre d'informations d'Annuaire (DIT) : DIB
caractéristiques.
considérée comme un arbre dont les sommets
(autres que la racine) sont les entrées d'Annuaire.
6.1.9 entrée-objet : Entrée constituant la collec-
tion élémentaire d'informations relatives à un
NOTE - Le terme DIT n'est utilisé, à la place de DIB,
objet détenues dans la DIB et dont on peut donc
que lorsque la structure arborescente des informa-
dire qu'elle représente cet objet dans la DIB.
tions est pertinente.
6.1.10 sous-classe : Par rapport a une
6.1.4 entrée (d'Annuaire) : Partie de la DIB
super-classe, classe d'objet dérivée d'une
contenant des informations relatives à un objet.
super-classe. Les membres de la sous-classe
partagent toutes les caractéristiques d'une autre
6.1.5 supérieur immédiat : Terme relatif à une
classe d'objet (la super-classe) ainsi que des
entrée ou un objet donné (le contexte doit claire-
caractéristiques supplémentaires que ne pos-
ment préciser duquel il s'agit) : entrée immédia-
sède aucun des membres de cette classe d'objet
tement supérieure ou objet immédiatement
(la super-classe).
supérieur.
6.1.5.1 (entrée) immédiatement supérieure :
6.1.11 subordonné, inférieur : Contraire de
Par rapport à une entrée donnée, entrée qui est à
supérieur.
l'extrémité initiale d'un arc dans le DIT, l'entrée
donnée étant à l'extrémité finale de cet arc.
ISO/CEI 9594-2 : 1990 (F)
6.1.12 super-classe : Par rapport à une
6.3.3 Pour tout objet donné, il peut y avoir, en
sous-classe, une classe d'objet d'où une
plus de l'entrée-objet, une ou plusieurs
sous-classe est dérivée.
entrées-pseudonymes servant à donner des
noms de remplacement à l'objet (voir 8.5).
6.1.13 supérieur : (s'applique à une entrée ou à
un objet) immédiatement supérieur(e) ou supé-
6.3.4 La structure des entrées d'Annuaire est
rieur(e1 à celui (celle) qui est immédiatement
représentée à la figure 3 et décrite en 7.2.
supérieude) (par récurrence).
6.3.5 Chaque entrée contient une indication de
la classe d'objet et des super-classes de cette
6.2 Objets
classe d'objet auxquelles l'entrée est associée.
6.2.1 Le but de l'Annuaire est de détenir des
Dans le cas d'une entrée-objet, cette entrée indi-
informations relatives à des objets d'intérêt (ob-
que la (les) classes(s) à laquelle (auxquelles)
jets) existant dans un certain «monde» et de
l'objet appartient. Dans le cas d'une entrée-pseu-
fournir l'accès à ces informations. Un objet peut
donyme, cette entrée indique (grâce à une classe
être tout ce qui est identifiable (peut être nom-
d'objet spéciale, la classe <(Alias», définie en
mé) dans ce monde. 9.4.8.2) qu'il s'agit en fait d'une entrée-pseudo-
nyme ; elle peut aussi indiquer à quelle(s)
NOTES
sous-classe(s) de la classe d'objet-pseudonyme
l'entrée appartient.
1 Le ((monde» est généralement celui des télécommuni-
e
cations et du traitement de l'information ou une partie
de ce monde.
6.4 L'arbre d'informations d'Annuaire (DIT)
6.4.1 Pour satisfaire les besoins de répartition et
2 Les objets connus de l'Annuaire peuvent ne pas corres-
pondre a l'ensemble de choses
exemple, pour l'Annuaire, une personne du monde réel
que les objets puissent être nommés d'une
est vue comme deux objets différents, une personne
manière non ambiguë (voir article 8) et que leurs
active et un résidant. La mise en correspondance entre
entrées puissent être retrouvées, il n'est pas pos-
ces deux objets n'est pas définie dans I'ISO/CEI 9594 ; elle
sible d'avoir toutes les entrées au même niveau.
relève des utilisateurs et fournisseurs de l'Annuaire dans
Par conséquent, la relation hiérarchique existant
le contexte de leurs applications.
habituellement entre les objets (par exemple,
une personne travaille dans un service d'une
6.2.2 L'ensemble complet des informations
organisation dont le siège est situé dans un
auxquelles l'Annuaire permet d'accéder est
pays) peut être exploitée en organisant les
connu sous l'expression de Base d'informations
entrées en arbre, connu sous l'expression arbre
d'annuaire. Toutes les informations qui peuvent
d'informations d'Annuaire (DIT).
être lues ou manipulées par les opérations de
l'Annuaire font partie de la DIB.
NOTE - L'annexe A présente les concepts et la ter-
minologie des structures en arbre.
6.2.3 Une classe d'objet est une famille identi-
fiée d'objets (ou d'objets imaginables) parta-
6.4.2 Les éléments constitutifs du DIT sont défi-
e
geant certaines caractéristiques. Chaque objet
nis comme suit :
appartient à au moins une classe. Une classe
d'objet peut être une sous-classe d'une autre a) les sommets sont les entrées. Les
classe d'objet, auquel cas les membres de la pre- entrées-objets peuvent être soit des som-
mière classe (la sous-classe) sont aussi considé- mets-feuilles soit des sommets-non-feuilles
rés comme membres de la seconde classe (la alors que les entrées-pseudonymes sont tou-
super-classe). II peut y avoir des sous-classes de jours des sommets-feuilles.
La racine n'est
pas une entrée en tant que telle mais peut, par
sous-classes, etc., jusqu'à un niveau arbitraire.
commodité (par exemple, dans les définitions
de b) et c) ci-dessous) être vue comme une
6.3 Entrées d'annuaire
entrée-objet vide (voir d) ci-dessous) ;
6.3.1 La DIB est composée d'entrées d'annuaire
b) les arcs définissent la relation existant
(entrées) dont chacune contient des informations
entre les sommets (et donc entre les entrées).
relatives à (décrivant) un seul objet.
Un arc allant du sommet A au sommet B
signifie que l'entrée en A est l'entrée immé-
6.3.2 Pour tout objet donné, il n'y a qu'une
diatement supérieure (la supérieure immé-
entrée-objet ;cette entrée représente la collection
diate) de l'entrée en 6, et à l'inverse, que
élémentaire des informations relatives à un objet
l'entrée en B est une entrée immédiatement
DIB. On dit que l'entrée-objet
détenues dans la
subordonnée (la subordonnée immédiate) de
re présente I'o bjet.
l'entrée en A. Les entrées supérieures (les
supérieures) d'une entrée donnée sont ses
ISO/CEI 9594-2 : 1990 (F)
supérieures immédiates en même temps que 7.1.5 valeur distinctive : Valeur d'attribut dans
ses supérieures (par récurrence). Les entrées une entrée ayant été désignée pour figurer dans
subordonnées (les subordonnées) d'une le nom distinctif relatif de l'entrée,
entrée donnée sont ses subordonnées immé-
diates en même temps que leur subordon-
7.2 Structure générale
nées (par récurrence) ;
7.2.1 Comme le montre la figure 3, une entrée
c) l'objet représenté par une entrée est auto-
d'un ensemble d'attributs.
est composée
rité de dénomination (voir article 8) pour ses
subordonnées ou bien, il est étroitement
associé à l'autorité de dénomination ;
ENTREE
d) la racine représente le niveau le plus élevé
d'autorité de dénomination pour la DIB.
6.4.3 Une relation supérieur/subordonné entre
les objets peut être déduite de celle existant
entre les entrées. Un objet est un objet immédia-
tement supérieur (le supérieur immédiat) d'un
autre objet si, et seulement si, I'entrée-objet pour
le premier objet est la supérieure immédiate de
n'importe laquelle des entrées pour le second
objet. Les expressions ((objet immédiatement
subordonné)), ((subordonné immédiat)), ((supé-
rieur)) et «subordonné» ont la même significa-
/ VALEUR(S) D'ATTRIBUT \
tion (appliquées aux objets).
6.4.4 Les relations supérieur/subordonné auto-
risées entre les objets sont régies par les défini-
tions de la structure du DIT (voir 9.2).
Figure 3 - Structure d'une entrée
7 Entrées d'Annuaire
7.2.2 Chaque attribut fournit une information
à l'objet auquel l'entrée correspond, ou
relative
7.1 Définitions
bien, décrit une caractéristique particulière de
cet objet.
7.1.1 attribut : Information d'un type donné
concernant un objet et apparaissant dans une
NOTE - Des exemples d'attribut qui pourraient
entrée qui décrit cet objet dans la DIB.
figurer dans une entrée sont : des informations de
dénomination telles que le nom personnel de l'objet
7.1.2 type d'attribut : Composant d'un attribut
et des informations d'adressage telles que son
qui indique la classe d'informations donnée par
numéro de téléphone.
cet attribut.
7.2.3 Un attribut est composé d'un type d'attri-
7.1.3 valeur d'attribut : Instance de la classe
but et de(s) valeur(s) d'attribut correspon-
d'informations indiquée par un type d'attribut.
dantek).
7.1.4 assertion de valeur d'attribut : Proposi-
Le type d'attribut identifie la classe d'informa-
tion, qui peut être vraie, fausse ou indéfinie,
tions donnée par un attribut. La (les) valeuds)
concernant les valeurs (ou seulement les valeurs
d'attribut sont les instances de cette classe appa-
distinctives) d'une entrée.
raissant dans l'entrée.
NOTE - Dans la présente Norme internationale, la
notation «string1 = stringZn est utilisée dans les
Attribute ::=
exemples d'assertions de valeur d'attribut. Dans
SEQUENCE I
cette notation, <&ringln est une abréviation du
type AttributeType,
momu du type d'attribut et ((string2n une represen-
values SET OF Attributevalue
tation textuelle d'une valeur appropriée. Bien que,
-- au moins une valeur est exigée.}
dans les exemples, les types d'attribut soient SOU-
vent fondés sur des types reels tels que ceux définis
dans I'ISO/CEI 9594-7 (par exemple «Cn pour «pays»,
7.3 Types d'attribut
&Nu pour anom usueln), cela n'est pas strictement
nécessaire pour les besoins de la présente Norme 7.3.1 Certains types d'attribut seront normalisés
internationale, l'Annuaire ne connaissant pas la spé-
au niveau international. D'autres types d'attribut
cification des types d'attribut utilises.
seront définis par des autorités administratives
ISO/CEI 9594-2 : 1990 (F)
nationales ou par des organisations privées. Ceci
L'AVA est :
implique que plusieurs autorités distinctes
a) indéfinie si l'une des affirmations suivantes
seront responsables de l'attribution de types de
est vraie :
telle sorte que chacun d'eux soit différent de
tous les autres types attribués. Ceci est réalisé en
1) le type d'attribut est inconnu,
identifiant chaque type d'attribut par un identifi-
2) la syntaxe d'attribut pour le type n'a pas
cateur d'objet quand le type est défini (comme
de règle de concordance (égalité),
décrit en 9.5) :
3) la valeur n'est pas conforme au type de
données de la syntaxe d'attribut.
AttributeType ::= OBJECT IDENTIFIER
NOTE- 2) et 3) indiquent normalement une AVA
fausse ; 1) peut survenir localement (par exemple,
7.3.2 Tous les attributs d'une entrée doivent
DSA n'a pas enregistré ce type d'attribut) ;
un
être d'un type d'attribut différent.
b) vraie, si l'entrée contient un attribut de ce
7.3.3 L'Annuaire connaît et utilise pour ses
type, dont une des valeurs concorde avec
besoins propres plusieurs types d'attribut dont :
cette valeur (si l'assertion ne concerne que
des valeurs distinctives, alors la valeur mise
a) Objectclass : un attribut de ce type figure
en concordance doit être la valeur spécifique).
dans chaque entrée et indique la classe d'ob-
O
jet et la (les) superclasse(s) à laquelle (aux-
NOTE- Les valeurs sont mises en concordance
quelles) l'objet appartient ;
pour verifier l'égalité et la mise en concordance met
en jeu la règle de concordance associée à la syntaxe
b) AliasedObjectName : un attribut de ce type
d'attribut.
figure dans chaque entrée-pseudonyme et
contient le nom distinctif (voir 8.5) de l'objet
c) fausse, dans les autres cas.
que cette entrée-pseudonyme décrit.
Ces attributs sont en partie définis en 9.4.
8 Noms
7.3.4 Les types d'attributs qui doivent ou qui
8.1 Définitions
peuvent figurer dans une entrée (autres que ceux
mentionnés en 7.3.3) sont régis par les règles
8.1.1 pseudonyme, nom pseudonyme : Nom
s'appliquant à la (aux) classe(s) d'objet indi-
d'un objet, obtenu par l'utilisation d'une ou plu-
q uée (s).
sieurs entrées-pseudonymes du DIT.
8.1.2 changement de nom : Remplacement du
7.4 Valeurs d'attribut
nom pseudonyme d'un objet par le nom distinc-
tif de l'objet.
7.4.1 La définition d'un type d'attribut (voir 9.5)
comprend également la spécification de la syn-
8.1.3 nom distinctif (d'un objet) : Un des noms
a
taxe et, donc, du type de données, auxquels cha-
d'objet formé à partir de la séquence de RDN de
que valeur de ces attributs doit se conformer. Ce
l'entrée-objet et de chacune de ses entrées supé-
peut être n'importe quel type de données :
rieures.
8.1.4 nom (d'Annuaire) : Construction qui dis-
Attributevalue ::= ANY
tingue un objet particulier de tous les autres
objets. Un nom doit être non ambigu
(c'est-à-dire qu'il ne doit désigner qu'un seul
7.4.2 Une seule des valeurs d'un attribut peut
objet) : cependant, il n'est pas nécessairement
être désignée par une valeur distinctive, auquel
unique (c'est-à-dire : il n'est pas le seul nom
cas la valeur d'attribut figure dans le nom dis-
désignant l'objet sans ambiguïté).
tinctif relatif (voir 8.3) de l'entrée.
8.1.5 nom présenté : Construction qui est un
7.4.3 Une assertion de valeur d'attribut (AVA)
nom, du point de vue de la syntaxe, mais qui n'est
qui peut être vraie, fausse ou
est une proposition
pas (encore) apparue comme un nom valide.
indéfinie ; elle concerne les valeurs d'une entrée
(ou les valeurs distinctives seulement). Elle corn-
8.1.6 autorité de dénomination : Autorité res-
porte un type d'attribut et une valeur d'attribut.
ponsable de l'attribution des noms. Chaque objet
dont l'entrée-objet est situé à un Som-
met-non-feuille dans le DIT est une autorité de
AitribuieValueAssertion :=
dénomination ou bien il est étroitement associé à
SEQUENCE (AtiributeType, AtlributeValuel
une autorité de dénomination.
ISO/CEI 9594-2 : 1990 (FI
8.1.7 nom distinctif relatif (RDN) : Ensemble 8.3.2 Les RDN de toutes les entrées ayant un
d'assertions de valeur d'attribut dont chacune supérieur immédiat particulier sont distincts. II
est vraie, concernant les valeurs distinctives incombe à l'autorité de dénomination dont
d'une entrée donnée. depend cette entrée qu'il en soit ainsi en attri-
buant des valeurs d'attribut distinctives d'une
manière appropriée.
8.2 Généralités sur les noms
NOTE - Fréquemment, une entrée ne contiendra
8.2.1 Un nom (d'Annuaire) est une construction
qu'une valeur distinctive (et, ainsi, le RDN ne com-
qui identifie un objet donné dans l'ensemble de
prendra qu'une seule AVA) ; cependant, dans cer-
tous les objets. Un nom doit être non ambigu,
tains cas (pour les différencier) des valeurs
c'est-à-dire qu'il ne doit désigner qu'un seul supplémentaires (et donc des AVA supplémentaires)
peuvent être utilisées.
objet. Cependant, un nom n'est pas nécessaire-
ment unique, c'est-à-dire qu'il n'est pas néces-
sairement le seul nom qui désigne l'objet sans 8.3.3 Le RDN d'une entrée est choisi à la créa-
ambiguïté. tion de l'entrée. Une seule instance de valeur de
tout type d'attribut peut faire partie du RDN, sui-
vant la nature de la classe d'objet désignée. L'at-
8.2.2 Du point de vue de la syntaxe, chaque
tribution des RDN est considérée comme une
nom d'objet est une séquence ordonnée de
tâche administrative qui peut ou non nécessiter
noms distinctifs relatifs (voir 8.3).
une négociation entre organisations ou adminis-
trations concernées.
Name ::=
CHOICE {-- une seule possibilité actuellement --
La présente partie de I'ISO/CEI 9594 ne décrit pas
RDNSequence 1
un tel mécanisme de négociation et n'émet
RDNSequence ::= SEQUENCE OF
aucune hypothèse quant à sa mise en œuvre. Le
RelativeDistinguishedName
RDN peut être modifié, si nécessaire, par un rem-
placement complet.
DistinguishedName ::= RDNSequence
NOTE - II est prévu que les RDN durent longtemps
NOTE - Des noms formes d'une autre manière que
de sorte que les utilisateurs de l'Annuaire puissent
celle décrite ici constituent une extension future pos-
stocker les noms distinctifs d'objets (par exemple,
sible.
dans l'Annuaire lui-même) sans se soucier de leur
obsolescence. Les RDN devraient donc être modifiés
8.2.3 La séquence nulle est le nom de la racine
avec prudence.
de l'arbre.
8.4 Noms distinctifs
8.2.4 Chaque sous-séquence initiale du nom
d'un objet est aussi le nom d'un objet. La
8.4.1 Le nom distinctif d'un objet donné est
séquence d'objets ainsi identifiés, commençant à
défini comme étant la séquence des RDN de I'en-
la racine et se terminant avec l'objet nommé, est
trée représentant l'objet et de ceux de ses
telle que chaque objet est le supérieur immédiat
entrées supérieures (ordre décroissant). A cause
de celui qui le suit dans la séquence.
de la correspondance un pour un entre objets et
entrées-objets, on peut considérer que le nom
distinctif identifie aussi I'entrée-objet.
8.2.5 Un nom présenté est une construction qui
est un nom, du point de vue de la syntaxe, mais
NOTES
qui n'est pas (encore) reconnue comme un nom
valide.
1 II est préférable que les noms distinctifs d'objets qui
doivent être utilisés par des opérateurs humains soient
8.3 Noms distinctifs relatifs
conviviaux.
8.3.1 Chaque entrée a un nom distinctif relatif
2 La norme IS0 7498-3 définit le concept de nom primi-
(RDN) unique. Un RDN est composé d'un ensem-
tif. Un nom distinctif peut être utilisé comme nom primi-
ble d'assertions de valeur d'attribut dont cha-
tif pour l'objet qu'il identifie parce qu'il est non ambigu,
cune est vraie, concernant les valeurs
qu'il est unique et que la sémantique de sa structure
distinctives de l'entrée.
interne (une séquence de RDN) ne doit pas nécessaire-
ment être comprise par l'utilisateur de l'Annuaire (mais
elle peut l'être, naturellement).
RelativeDistinguishedName ::=
SET OF AttributeValueAssertion
3 L'entrée-objet et ses supérieures étant seules concer-
nées, les noms distinctifs d'objet ne peuvent jamais
L'ensemble contient exactement une assertion
impliquer des entrées-pseudonymes.
sur chaque valeur d'attribut de l'entrée,
ISO/CEI 9594-2 : 1990 (FI
8.4.2 II est commode de définir le (mom distinc- 8.5.5 L'Annuaire utilise l'attribut Aliased Object
tif» de la racine et d'une entrée-pseudonyme Name dans une entrée-pseudonyme pour identi-
bien que dans aucun des deux cas le nom ne soit fier et trouver l'entrée-objet correspondante.
aussi le nom distinctif d'un objet. Le nom distinc-
tif de la racine est défini comme séquence NULL.
Le nom distinctif d'une entrée-pseudonyme est
9 Schéma d'Annuaire
défini comme la séquence de RDN de I'en-
trée-pseudonyme et de ceux de toutes ses
9.1 Définitions
entrées supérieures (ordre décroissant).
9.1.1 schéma d'Annuaire : Ensemble de défini-
8.4.3 La figure 4 donne un exemple illustrant les
tions et de contraintes concernant la structure du
concepts de RDN et de nom distinctif.
DIT, les définitions de classes d'objet, les types
d'attribut et les syntaxes qui caractérisent la DIB.
RDN Nom distinctif
RACINE 1 I I
9.1.2 règle de structure du DIT : Règle, faisant
partie du schéma d'Annuaire, qui met en relation
une classe d'objet (la subordonnée) avec une
IW/ {C=GB}
autre classe d'objet (la supérieure) et qui permet
à une entrée de la classe subordonnée d'être
Organisations
immédiatement subordonnée à une entrée de la
mc-
10 = Telecod {C = GB, O =Telecom} I
classe supérieure dans le DIT. La règle régit aucsi
/I\ I I I ie(s) type(s) d'attribut autorisé(s) à figurer dans
Unités I I t
le RDN de l'entrée (subordonnée) et peut impo-
ser des conditions supplémentaires. Le schéma
peut contenir plusieurs règles de cette sorte.
dndividus I I {C = GB, O =Telecom,
9.2 Aperçu général
CN = Smith (OU =Sales, L = Ipswish),
a
CN =Smith) I
9.2.1 Le schéma d'Annuaire est un ensemble de
définitions et contraintes concernant la structure
Figure 4 - Détermination de noms distinctifs
du DIT ainsi que les manières possibles de
dénommer les entrées, les informations pouvant
8.5 Noms pseudonymes être détenues dans une entrée et les attributs uti-
lisés pour représenter ces informations.
8.5.1 Un pseudonyme, ou nom pseudonyme,
NOTES
pour un objet est un nom dont au moins un des
RDN est celui d'une entrée-pseudonyme. Les
pseudonymes permettent aux entrées-objets de
1 Le schéma permet au système d'Annuaire, par exem-
donner l'impression d'avoir plusieurs supérieu-
ple :
res immédiates. Les pseudonymes fournissent
- d'empêcher la création d'entrées subordonnées
e
donc une base pour des noms de remplacement.
d'une classe d'objet incorrecte (par exemple, un pays
comme entrée subordonnée d'une personne) ;
8.5.2 De même que le nom distinctif d'un objet
- d'empêcher l'addition de types d'attribut à une entree
exprime sa relation principale avec une certaine
inappropriés à la classe d'objet (par exemple, un
hiérarchie d'objets, un pseudonyme exprime (en
numéro de série à une entrée-personne) ;
général) une relation de remplacement avec une
- d'empêcher l'addition d'une valeur d'attribut ne cor-
hiérarchie d'objets différente.
respondant pas à celle définie pour le type d'attribut (par
exemple une Printablestring à la place d'une Bitstring).
8.5.3 Un objet ayant une entrée dans le DIT peut
avoir zéro ou plusieurs pseudonymes. II s'ensuit
2 L'ISOKEI 9594 ne définit pas, actuellement, de méca-
donc que plusieurs entrées-pseudonymes peu-
nisme dynamique de gestion du schéma d'Annuaire.
vent désigner la même entrée-objet. Une
entrée-pseudonyme peut désigner une
9.2.2 Du point de vue formel, le schéma d'An-
entrée-objet qui n'est pas une entrée-feuille.
nuaire est composé d'un ensemble de :
Seules les entrées-objets peuvent avoir des
pseudonymes. Ainsi les pseudonymes de pseu-
donymes sont interdits. a) définitions (règles) de structure du DIT qui
définissent les noms distinctifs que les
entrées peuvent avoir et comment ces noms
8.5.4 Une entrée-pseudonyme ne doit pas avoir
peuvent être mis en relation dans le DIT ;
qui signifie qu'une
de subordonnée, ce
entrée-pseudonyme est une entrée-feuille.
ISO/CEI 9594-2 : 1990 (F)
b) l'identification des types d'attribut qui peu-
b) définitions de classes d'objet qui donnent
vent faire partie des RDN d'entrées subordon-
l'ensemble d'attributs obligatoires et option-
nées ; et
nels devant et pouvant figurer dans une
entrée d'une classe donnée (voir 6.3.2) ;
c) en option, des information's supplémentaires.
c) définitions de types d'attribut qui donnent
l'identificateur d'objet par lequel un attribut
9.3.2 L'Annuaire ne permet à une entrée d'être
est connu ainsi que sa syntaxe et qui indiquent
la subordonnée immédiate (sa supérieure immé-
s'il est permis d'avoir plusieurs valeurs ;
diate) d'une autre que s'il existe une règle de
structure du DIT, contenue dans le schéma (voir
d) définitions de syntaxe d'attribut qui don-
9.2.3), applicable à la partie de la DIB qui contien-
nent, pour chaque attribut, le type de données
drait cette entrée et pour laquelle :
ASN.l et les règles de concordance.
-l'entrée est de la classe de l'objet subor-
La figure 5 montre les relations existant entre les
donné ;
définitions du schéma et le DIT, les entrées d'An-
nuaire, les attributs et les valeurs d'attributs.
- la supérieure immédiate de l'entrée est de la
classe de l'objet supérieur ;
- le(s) type(s) d'attribut formant le RDN de
l'entrée est (sont) autorisé(s) ;
a
Définitions Éléments du DIT
- les conditions imposées par les informa-
tions supplémentaires sont remplies.
NOTES
1 L'ISO/CEI 9594 ne fournit pas actuellement de techni-
Utilise
que pour documenter la structure du DIT ou pour repré-
senter les règles de structure dans la DIB.
2 Si une règle de structure du DIT permet aux subor-
donnés ou aux supérieurs d'appartenir à une classe par-
ticulière, elle permet aussi implicitement (sauf
déclaration contraire explicite) aux subordonnés ou
supérieurs d'appartenir à toute classe d'objet dérivée de
cette classe (voir 9.4).
Figure 5 - Aperçu général du schéma
d'Annuaire
9.3.3 L'Annuaire applique les règles de structure
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...