rfc2829.txt

很多RFC的中文文档

   authzId    = dnAuthzId / uAuthzId

   ; distinguished-name-based authz id.
   dnAuthzId  = "dn:" dn
   dn         = utf8string    ; 句法在RFC 2253中定义

   ; unspecified userid, UTF-8 encoded.
   uAuthzId   = "u:" userid
   userid     = utf8string    ; 非特指的句法（syntax unspecified）

   	utf8string被定义为一个或者多个ISO 10646字符的UTF-8编码。

   	所有支持认真证明存储的服务，例如口令或者证书，在目录中必须（MUST）支持dnAuthzId 
选择。

   	uAuthzId选择允许兼容客户应用程序希望认证本地目录，但是不知道它们自己的甄别名
（Distinguished Name）或者有一个目录实体。字符串的格式被定义仅作为UTF-8编码的ISO 
10646字符集的序列，进一步的解释需要在客户和服务之间优先协定的。

   	例如，userid（用户ID）能标识目录服务的明确的用户，或者是一个登录名或者RFC 822
电子邮件地址的local-part。通常uAuthzId必须不能（MUST NOT）被假定为全局唯一。

   	附加的授权标识方案可以（MAY）定义在本文档的将来版本中。

10. TLS 密码适配组
   	下面定义在[6]中的密码适配组一定不能（MUST NOT）用于口令或者数据的机密性保护:

         TLS_NULL_WITH_NULL_NULL
         TLS_RSA_WITH_NULL_MD5
         TLS_RSA_WITH_NULL_SHA

   	下面定义在[6]中的密码适配组能被轻易破解（在1997年标准CPU上少于一周的CPU（计
算）时间）。客户和服务应该（SHOULD）在使用这些密码适配组保护的口令或者数据的值之前
小心考虑：

         TLS_RSA_EXPORT_WITH_RC4_40_MD5
         TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
         TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
         TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA
         TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA
         TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
         TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
         TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
         TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA

   	下面的密码适配组易受手动之间攻击（man-in-the-middle attacks）,而且不应该
（SHOULD NOT）用于保护口令或者敏感数据，除非网络配置上对这样的手动中间攻击的危险
是可容忍的：

         TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
         TLS_DH_anon_WITH_RC4_128_MD5
         TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA
         TLS_DH_anon_WITH_DES_CBC_SHA
         TLS_DH_anon_WITH_3DES_EDE_CBC_SHA

   	支持TLS的客户或者服务必须（MUST）至少支持TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。

11. 对于LDAP的SASL服务名字
   	对于SASL[2]的使用，协议必须制定各种不同SASL机制使用的服务名字，例如GSSAPI。
对于LDAP，服务名字是"ldap"，其已经在IANA注册作为GSSAPI服务名字。

12. 安全考虑
   	安全问题在这份备忘录（memo）中全篇被讨论；结论（令人惊奇的）是强制（mandatory）
安全是重要的，并且当窥探是一个问题的时候会话加密是需要的。

   	服务（程序）被促进去防止被匿名用户修改。服务（程序）也可以通过超时无效连接希
望最小化服务否定攻击，并且返回unwillingToPerform 结果代码而不执行被未授权客户（程
序）请求的昂贵计算操作。

   	在客户（程序）还没有执行启动TLS操作或者为连接完整性和加密服务协商一套SASL
机制之上的连接是在传输中手动之间攻击（man-in-the-middle attacks）查看和修改信息方
面的主题。

   	相关于协商TLS扩展（EXTERNAL）机制的安全考虑能在[2]，[5]和[6]中找到。

13. 确认
   	这篇文档是IETF的LDAPEXT Working Group 的产物。其成员的贡献是非常值得欣赏的。

14. 文献

   [1] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access
       Protocol (v3)", RFC 2251, December 1997.

   [2] Myers, J., "Simple Authentication and Security Layer (SASL)", RFC
       2222, October 1997.

   [3] Bradner, S., "Key words for use in RFCs to Indicate Requirement
       Levels", BCP 14, RFC 2119, March 1997.

   [4] Leach, P. and C. Newman, "Using Digest Authentication as a SASL
       Mechanism", RFC 2831, May 2000.

   [5] Hodges, J., Morgan, R. and M. Wahl, "Lightweight Directory Access
       Protocol (v3): Extension for Transport Layer Security", RFC 2830,
       May 2000.

   [6] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC
       2246, January 1999.

   [7] Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax
       Specifications: ABNF", RFC 2234, November 1997.

   [8] Kent, S. and R. Atkinson, "Security Architecture for the Internet
       Protocol", RFC 2401, November 1998.

15. 作者的地址
   Mark Wahl
   Sun Microsystems, Inc.
   8911 Capital of Texas Hwy #4140
   Austin TX 78759
   USA

   EMail: M.Wahl@innosoft.com


   Harald Tveit Alvestrand
   EDB Maxware
   Pirsenteret
   N-7462 Trondheim, Norway

   Phone: +47 73 54 57 97
   EMail: Harald@Alvestrand.no


   Jeff Hodges
   Oblix, Inc.
   18922 Forge Drive
   Cupertino, CA 95014
   USA

   Phone: +1-408-861-6656
   EMail: JHodges@oblix.com


   RL "Bob" Morgan
   Computing and Communications
   University of Washington
   Seattle, WA 98105
   USA

   Phone: +1-206-221-3307
   EMail: rlmorgan@washington.edu

16．完整版权声明
   	版权（C）因特网协会（2001）。版权所有。

   	这个文档和它的翻译可以拷贝和分配给其他人，以及有关评论或者别样的解释或者其应
用的帮助等派生工作可以被准备、拷贝、发表和发布，其整体或者部分没有受到任何限制，
提供上述版权通知以及本段落应被包含在所有这样的拷贝和派生工作中。然而，这个文档本
身不可以以任何方式修改，例如移走版权通知或者Internet协会或其他Internet组织的参考，
除非为了发展Internet标准（其版权程序定义在Internet Standards进程如下），或者需要翻译
成除英语以外的其他语言。

   上述限制允许授权是持久的并且将不被Internet协会或者它的继承人隐藏或者转让。

译者注：对于本文档的完整版权声明原文如下：

16.  Full Copyright Statement

   Copyright (C) The Internet Society (2000).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

确认
   	为RFC编辑功能资助现在由因特网协会（Internet Society）提供。

RFC2829——Authentication Methods for LDAP                         针对LDAP的验证方法


15
RFC文档中文翻译计划