Attribute mit Option Binary Einige Verzeichnissysteme erzwingen eine spezielle Behandlung für bestimmte Attribute, sodass die LDAP-Attributoptionsbinärdatei verwendet werden muss. Der Grund hierfür ist: Die zugehörigen Attributwerte oder Assertionswerte müssen BER (Basic Encoding Rules) codiert sein - ansonsten werden die Werte entsprechend der LDAP-spezifischen Codierung RFC 4517 für die Attributsyntax codiert. Um diese spezielle Behandlung zu signalisieren, gibt der LDAP-Server solche Attribute nur mit der binären Option zurück. LDAP-Optionen wie die binäre Option werden im Allgemeinen in der LDAP v3-Spezifikation in RFC 4511 beschrieben. Sie werden zu den Attributnamen als Suffix hinzugefügt, wenn der LDAP-Server und der Client miteinander kommunizieren, zum Beispiel wie folgt: Die binäre Option ist insbesondere Beschrieben in RFC 4522. Manchmal ist es nicht deutlich im Verzeichnis Schema markiert, wenn ein Attribut erfordert eine Behandlung mit der binären Option. In diesen Fällen haben Sie die Möglichkeit, ein solches Attribut in die Anwendungsoptionen unter Werkzeuge - Optionen - LDAP-Einstellungen in die Liste Binärattribute zu legen. So können diese Attribute ohne Probleme gelesen und geschrieben werden. Normalerweise müssen Sie nicht hart an dieser Liste arbeiten, weil die meisten Attribute, die die binären Optionen benötigen, hier als Standardwerte vordefiniert sind. Sie werden erkennen, wann ein Attribut dieser Liste hinzugefügt werden soll, wenn Sie es im Attributlistenfenster mit der binären Zeichenfolge am Ende des Attributsnamens sehen: Ein weiteres Symptom, das Sie darauf hinweist, einen solchen Attributnamen den Attributen der binären Option hinzuzufügen List: Ein Protokollfehler tritt auf, wenn Sie ein solches Attribut ohne die binäre Option schreiben möchten: Attribute Da die meisten Operationen im LDAP-Verzeichnis um Attribute herumliegen, müssen Sie verstehen, wie Sie diese Attribute über den JNDI verwenden. Ein LDAP-Eintragsattribut wird durch die Attribute-Schnittstelle dargestellt, während einzelne Attribute durch die Attributschnittstelle repräsentiert werden. Um Attribute für die Verwendung in Ihrem Programm zu erstellen, sollten Sie die BasicAttributes und BasicAttribute-Klassen verwenden. Hier ist ein Beispiel, das zwei Attribute, oc und Foto erstellt. Und legt sie in ein Attributes-Objekt. Attributnamen Sie identifizieren ein Attribut durch die Verwendung seines Attributnamens. Die manchmal als Attributbezeichner oder Attributtypname bezeichnet wird. Die Directory Operations-Lektion behandelt die Attributnamen, insbesondere die Attributunterklassen, die Attributnamen-Synonyme und die Syntax für die Angabe von Spracheinstellungen. Diese Funktionen werden möglicherweise nicht von allen LDAP-Server-Implementierungen unterstützt. LDAP-Attributnamen werden nicht zwischen Groß - und Kleinschreibung unterschieden. Also zwei Attributnamen, wie objectclass und objectClass. Würden beide interpretiert, um auf dasselbe Attribut zu verweisen. Wenn Sie die BasicAttributes-Klasse verwenden, um LDAP-Attribute zu repräsentieren, sollten Sie true für den Parameter ignoreCase an seine Konstruktoren übergeben. Hier sind einige Beispiele. Mit dem LDAP v3 können Optionen an einen Attributnamen angehängt werden. Jeder Option wird ein Semikolon-Zeichen () vorangestellt. Optionen sind wie Attributunterklassen. Das heißt, ein Attribut, das ohne die Option benannt wird, wird als die Superklasse eines mit einer Option benannten Attributs behandelt. Die einzige Option, die durch das Protokoll definiert wird, ist binär (angezeigt durch die Zeichenfolge binär), was bedeutet, dass der Attributwert im Binärformat (unabhängig von seiner eigentlichen Syntax) übertragen werden soll. Diese Option ist für die Übertragung von ASN.1-codierten Daten (z. B. Zertifikate: caCertificatebinary) reserviert. Server, die Attributunterklassen unterstützen, können die Identifizierung des Attributs ohne seine binäre Option unterstützen, aber es ist am besten, die binäre Option im Attributnamen einzuschließen. Operative Attribute Der LDAP v3 unterstützt den Begriff der operativen Attribute. Die Attribute sind, die einem Verzeichnisobjekt für administrative Zwecke zugeordnet sind. Die Zugriffssteuerungsliste für ein Objekt ist beispielsweise ein operatives Attribut. In DirContext. getAttributes () und DirContext. search (). Können Sie null als Liste der zurückzugebenden Attribute angeben und können daher angeben, dass alle Attribute, die mit den angeforderten Objekten verknüpft sind, zurückgegeben werden. Die zurückgegebenen Attribute enthalten jedoch keine operativen Attribute. Um Betriebsattribute abzurufen, müssen Sie diese explizit benennen. Attributwerte Ein LDAP-Attribut kann einen einzelnen oder mehrere ungeordnete Werte aufweisen. Ob ein Attribut mehr als einen Wert haben darf, wird durch die Attributdefinition im Verzeichnisschema diktiert. Sowohl einzelne als auch mehrwertige Attribute werden im JNDI als Attribut dargestellt. Im vorherigen Beispiel. Ein mehrwertiges Attribut und ein einwertiges Attribut erstellt werden. Das JNDI ist sehr flexibel, wie Attributwerte dargestellt werden können, da solche Werte als java. lang. Object deklariert werden. Wenn Sie die JNDI zum Zugreifen auf oder Aktualisieren von in einem bestimmten Verzeichnis gespeicherten Attributen verwenden, hängen die Typen der Attributwerte von dem Verzeichnis und teilweise vom entsprechenden Dienstanbieter ab. Für das LDAP-Verzeichnis repräsentiert der Suns-LDAP-Anbieter Attributwerte entweder als java. lang. String oder als Byte. Byte-Arrays werden verwendet, um Attributwerte mit Nonstring-Attributsyntaxen darzustellen. Strings werden verwendet, um die Werte aller anderen Syntaxen darzustellen. Für ein beliebiges Attribut steht kein programmatischer Weg zur Verfügung, um zu ermitteln, ob seine Syntax nonstring ist. Manuelle Möglichkeiten sind natürlich vorhanden und beinhalten das Nachschlagen des Attributs und seiner Syntax in Dokumenten wie RFC 2256. Der LDAP-Dienstanbieter verfügt über eine integrierte Liste von Attributnamen, die er enthält Nonstring-Werte und ermöglicht es Clients hinzuzufügen Liste. Die folgende Tabelle enthält die eingebaute Liste. Wenn Sie eines dieser Attribute aus dem LDAP-Verzeichnis lesen, wird sein Wert vom Typ-Byte sein. Angeben zusätzlicher Nonstring-Attribute Wenn Ihr Programm ein Attribut verwendet, dessen Wert als ein Byte-Array zurückgegeben werden soll, aber der Attributname nicht auf dieser Liste steht, müssen Sie den Namen zur Liste der Nonstring-Attribute hinzufügen. Sie tun dies, indem Sie die java. naming. ldap. attributes. binary-Umgebungseigenschaft verwenden. Sein Wert ist eine Zeichenfolge von räumlich getrennten Attributnamen. Beispielsweise informiert die folgende Umgebungseigenschaftseinstellung den LDAP-Anbieter, dass die Werte der Attribute mpegVideo und mySpecialKey als Bytearrays zurückgegeben werden sollen: Unterdrücken der Rückgabe von Attributwerten Mit dem LDAP v3 können Sie angeben, dass nur Attributtypnamen (und Nicht Attributwerte) zurückgegeben werden. Um dies zu tun, indem Sie das JNDI verwenden, legen Sie die Umgebungseigenschaft java. naming. ldap. typesOnly fest. Diese Eigenschaft wirkt auf DirContext. getAttributes () und DirContext. search (). Wenn Sie angeben, dass Objekte zurückgegeben werden sollen (durch Übergeben von true zu SearchControls. setReturningObjFlag ()) und dann aufrufen search (). Wird diese Eigenschaft ignoriert, da Attributwerte erforderlich sind, um das Objekt zu generieren. Heres ein Beispiel, das eine Liste der Eintragsattributnamen erhält. Dieses Beispiel erzeugt die folgende Ausgabe. RE: No-op LDAP-Binäroption David, Ich stimme der Zusammenfassung des Problems zu, das Sie unten angegeben haben. In Bezug auf die grundlegende ldapv3 Interoperabilität, binäre wurde die Nummer 1 Problem Ive begegnet. Ich bevorzuge eine Lösung, die quotuserCertificatebinaryquot definiert und quot userCertificatequot die gleiche Bedeutung haben. das heißt, ein Antrag auf usercertificate den gleichen binär codierten Wert als Anforderung für userCertificatebinary (und die Attributbeschreibung wird zurückgegeben userCertificatebinary wenn userCertificatebinary angefordert wurde) zurück. ----- Ursprüngliche Nachricht ----- Von: dwchadwicksalford. ac. uk mailto: dwchadwicksalford. ac. uk Gesendet: Donnerstag, 21. November 2002 16.52 An: steve. hannasun rweisertrustdst Cc: Housley, Russ steve. hannaEast. Sun Hallvard B Furuseth ietf-pkiximc. org Ramsay, Ron Subject: Re: No-op LDAP binäre Option Datum gesendet: Mi, 20. November 2002 16.39.26 -0700 Von: Russel F Weiser ltrweisertrustdstgt Antwort senden zu: rweisertrustdst Organisation: Digital Signature Trust: steve. hannasun Kopien an: quotHousley, Russquot ltrhousleyrsasecuritygt, steve. hannaEast. Sun, Hallvard B Furuseth lth. b.furusethusit. uio. nogt, ietf-pkiximc. org, quotRamsay, Ronquot ltRon. Ramsaycagt Betreff: Re: No-op LDAP binäre Option gt Ich stimme mit Hallvards Lösung. Gt Cheers gt Russel F Weiser gt Dies wäre gut, wenn userCertificatebinary von allen LDAPv3-Implementierungen gemäß der Spezifikation implementiert wurde. Aber es ist nicht. Ebenso ist sichergestellt, dass LDAP-Server eine LDAPv2-Anfrage für userCertificate wie eine v3-Anfrage für userCertificatebinary behandeln. Was sie sollten. Dies sind einige der Gründe, weshalb das gesamte Thema der Binärdaten von LDAPBIS Anfang dieses Jahres erneut besucht wurde. Chris Oliver aus Entrust hat eine ganze Reihe von Interop-Tests und fand viele Bugs und Probleme in LDAP-Implementierungen. Ich würde in Chriss Blick auf Hallvards Vorschlag David gt gt Steve Hanna interessiert sein geschrieben: gt gt gt gt Russ Housley geschrieben: gt gt GTi nicht wirklich interessieren, solange wir uns auf eine Art und Weise zustimmen, es zu tun. Wir können gt gt gtup mit einer Übergangsstrategie, sobald es ein vereinbart, um Standard. Ich gt gtcannot akzeptieren mehrere Möglichkeiten, um für das gleiche Material zu bitten. Gt gt gt gt Wir müssen userCertificatebinary unterstützen, weil das ist was gt gt die aktuelle Spezifikation und Implementierungen zu unterstützen. Die Arbeitsgruppe LDAPBIS gt gt möchte in userCertificate übergehen. Gt gt gt gt Ich denke nicht, dass es möglich ist, diese beiden Anforderungen gt gt ohne zwei Möglichkeiten, um das Attribut zugreifen. Warum ist es so gt gt wichtig, nur einen Weg, haben Würde nicht ein fließender Übergang gt gt von userCertificatebinary zu usercertificate bevorzugt gt gt sein Haben Sie eine bessere Idee Wenn ja, es präsentieren. Gt gt gt gt Andernfalls empfehle ich Hallvards einfachste Lösung: gt gt Neue Server müssen UserCertificate oder userCertificatebinary gt gt unterstützen und behandeln sie als identisch. Kunden sollten UserCertificatebinary verwenden. Gt gt Sobald die alten Server sind weg, können wir sagen, dass Kunden sollten gt use UserCertificate. Gt gt gt gt - Schritt
No comments:
Post a Comment