備忘錄狀況
這份文檔為Internet社區(qū)指定為Internet標(biāo)準(zhǔn)（軌跡）協(xié)議，并且為進(jìn)一步改進(jìn)需要討論
和建議。這份協(xié)議的標(biāo)準(zhǔn)化狀態(tài)和狀況請(qǐng)參閱"Internet官方協(xié)議標(biāo)準(zhǔn)（InternetOfficialPRotocol
Standards）"(STD1)的當(dāng)前版。這份備忘錄的分發(fā)不受限制。

版權(quán)聲明
Copyright(C)TheInternetSociety(2000)。版權(quán)所有。

摘要

這份文檔針對(duì)LDAP[LDAPv3,TLS]定義了"啟動(dòng)傳輸層安全操作StartTransportLayer
Security(TLS)Operation"。這個(gè)操作規(guī)定了與LDAP關(guān)聯(lián)的TLS建立（establishment）
和按照LDAP擴(kuò)展請(qǐng)求被定義。



目錄
0.譯者的話 2
1.本文的約定 3
2.啟動(dòng)TLS請(qǐng)求 3
2.1.請(qǐng)求TLS建立 3
2.2.成功回答（"SUCcess"Response） 4
2.3.回答為"success"以外的值 4
3.啟動(dòng)TLS操作的序列 5
3.1.在LDAP關(guān)聯(lián)中啟動(dòng)TLS請(qǐng)求 5
3.2.啟動(dòng)TLS 5
3.3.TLS版本協(xié)商 6
3.4.結(jié)果安全級(jí)的發(fā)現(xiàn)（DiscoveryofResultantSecurityLevel） 6
3.5.客戶程序授權(quán)身份（Client'sAuthorizationIdentity）的斷言 6
3.6.服務(wù)程序身份檢查 6
3.7.服務(wù)程序能力信息的刷新 7
4.關(guān)閉TLS連接 7
4.1.舒緩關(guān)閉（GracefulClosure） 7
4.2.忽然停止（AbruptClosure） 8
5.關(guān)于客戶程序的授權(quán)身份的TLS效應(yīng)（Effects） 8
5.1.TLS連接建立效應(yīng) 8
5.1.1.缺省效應(yīng) 8
5.1.2.授權(quán)身份的客戶斷言 8
5.1.2.1.隱式斷言（ImplicitAssertion） 9
5.1.2.2.顯式斷言（EXPlicitAssertion） 9
5.1.2.3.錯(cuò)誤狀況（ErrorConditions） 9
5.2.TLS連接關(guān)閉效應(yīng) 9
6.安全考慮 10
7.確認(rèn) 10
8.參考 10
9.作者地址 11
10.知識(shí)產(chǎn)權(quán)聲明 12
11.完整版權(quán)聲明 12
確認(rèn) 13
0.譯者的話
譯者在翻譯這份文檔的時(shí)候，采取直譯的方式，盡量保證原文的原意。同時(shí)也盡量考慮
了中文的語義順暢，便于中文讀者閱讀，譯者在譯文中加入了一些修飾語和譯注，修飾語一
般在括號(hào)中寫明，而譯注均有“譯者注”字樣。由于譯者翻譯本篇文擋時(shí)間有限，譯文中一
定會(huì)存在許多理解有誤、用詞不當(dāng)之處，歡迎讀者來信指正，共同學(xué)習(xí)。

1.本文的約定
在本文中出現(xiàn)的要害字"MUST","MUSTNOT","REQUIRED","SHALL","SHALLNOT",
"SHOULD","SHOULDNOT","RECOMMENDED","MAY",和"OPTIONAL"作為在[ReqsKeyWords]
中的描述被解釋。

2.啟動(dòng)TLS請(qǐng)求
這部分描述啟動(dòng)TLS（StartTLS）擴(kuò)展請(qǐng)求（request）和它們自身的擴(kuò)展回答（response）：
如何形成請(qǐng)求，請(qǐng)求的格式，和客戶程序（client）必須（MUST）預(yù)備處理的各種結(jié)果編碼
的列舉。

本節(jié)的隨后部分開始描述如何連續(xù)從頭到尾的啟動(dòng)TLS操作（步驟）。

2.1.請(qǐng)求TLS建立
客戶程序可以通過傳輸LDAPPDU執(zhí)行啟動(dòng)TLS（StartTLS）操作，其（LDAPPDU）包含
為啟動(dòng)TLS操作指定OID的ExtendedRequest[LDAPv3]：

1.3.6.1.4.1.1466.20037
譯者注：上面這一串?dāng)?shù)字即為OID。
PDU：protocoldataunit（協(xié)議數(shù)據(jù)單元）

AnLDAPExtendedRequest定義如下：

ExtendedRequest::=[application23]SEQUENCE{
requestName[0]LDAPOID,
requestValue[1]OCTETSTRINGOPTIONAL}
譯者注：描述ExtendedRequest定義的為ASN1語法。

啟動(dòng)TLS擴(kuò)展請(qǐng)求通過設(shè)置requestName域?yàn)樯厦娼o出的OID字符串組成。
requestValue域被忽略。客戶程序直到接收到啟動(dòng)TLS擴(kuò)展回答，否則一定不能（MUSTNOT）
發(fā)送隨這個(gè)請(qǐng)求連接的任何PDUs。

當(dāng)啟動(dòng)TLS擴(kuò)展請(qǐng)求構(gòu)成（made）時(shí)，服務(wù)程序（server）必須（MUST）返回一包含啟
動(dòng)TLS擴(kuò)展回答的LDAPPDU。LDAPExtendedResponse定義如下：

ExtendedResponse::=[APPLICATION24]SEQUENCE{
COMPONENTSOFLDAPResult,
responseName[10]LDAPOIDOPTIONAL,
response[11]OCTETSTRINGOPTIONAL}

啟動(dòng)TLS擴(kuò)展回答必須（MUST）包含responseName域，其（值）必須（MUST）被設(shè)置為
存在于啟動(dòng)TLS擴(kuò)展中responseName域相同的字符串。Response域被忽略。服務(wù)程序必須
（MUST）設(shè)置resultCode域或者為成功（success）或者為在段落2.3中定義的值中的一個(gè)。

2.2.成功回答（"Success"Response）
假如ExtendedResponse包含的resultCode值為success，這說明服務(wù)程序愿意（willing）
和有能力協(xié)商（negotiate）TLS。參考段落3，獲得具體內(nèi)容。

2.3.回答為"success"以外的值
假如ExtendedResponse包含的resultCode值為success以外的其他（值），這說明服務(wù)
程序不愿意（unwilling）或者沒有能力協(xié)商TLS。

假如啟動(dòng)TLS擴(kuò)展請(qǐng)求沒有成功，resultCode（值）將為下面中的一個(gè)：

operationsError（操作序列不正確（incorrect）；例如，TLS已經(jīng)建立)

protocolError（TLS不被支持或者不正確的PDU結(jié)構(gòu))

referral（這個(gè)服務(wù)程序沒有做TLS，試試這個(gè)）

unavailable（例如，一些相關(guān)TLS的主要問題，或者服務(wù)程序被殺死（shutting
down））

假如客戶程序違反任何在段落3中描述的啟動(dòng)TLS擴(kuò)展操作序列請(qǐng)求，服務(wù)程序必須
（MUST）返回operationsError。

假如服務(wù)程序不支持TLS（由于設(shè)計(jì)或者由于當(dāng)前的配置），它必須（MUST）設(shè)置
resultCode為protocolError(參見段落4.1.1[LDAPv3]部分)，或者為referral。服務(wù)程
序必須（MUST）在LDAPResult中包括（include）確切（actual）的referral值，假如它
在resultCode中返回referral。客戶程序當(dāng)前會(huì)話不受影響，假如服務(wù)程序不支持TLS。
客戶程序可以（MAY）繼續(xù)執(zhí)行任何LDAP操作，或者它可以（MAY）關(guān)閉（當(dāng)前）的連接。

服務(wù)程序必須（MUST）返回unavailable，假如它支持TLS但是因?yàn)橐恍┰虿荒芙LS
連接，例如，證書服務(wù)（certificateserver）沒有回答，它不能接觸到（contact）它的
TLS工具（implementation），或者假如服務(wù)程序在處理過程中當(dāng)?shù)簦╯huttingdown）。客戶
程序可以（MAY）嘗試再次啟動(dòng)TLS操作，或者它可以（MAY）繼續(xù)進(jìn)行任何其他LDAP操作，
或者它可以（MAY）關(guān)閉連接。

3.啟動(dòng)TLS操作的序列
這部分描述客戶程序和服務(wù)程序?yàn)門LS的建立必須（MUST）伴隨的從頭到尾的過程
（procedures）。這些過程考慮了LDAP關(guān)聯(lián)（association）中總體安全的各個(gè)方面，包括發(fā)
現(xiàn)（discovery）結(jié)果安全級(jí)（resultantsecuritylevel）和客戶程序的驗(yàn)證標(biāo)識(shí)斷言
（assertion）。

注重精確的影響（preciseeffects），關(guān)于客戶程序的驗(yàn)證標(biāo)識(shí)，在LDAP關(guān)聯(lián)中的TLS
建立在部分5中具體描述。

3.1.在LDAP關(guān)聯(lián)中啟動(dòng)TLS請(qǐng)求
客戶程序可以（MAY）在建立LDAP關(guān)聯(lián)后任何時(shí)間發(fā)送啟動(dòng)TLS擴(kuò)展請(qǐng)求，除非下列情況，
客戶程序一定不能（MUSTNOT）發(fā)送啟動(dòng)TLS擴(kuò)展請(qǐng)求：

-假如TLS是在連接中被建立，或者
-在multi-stageSASL協(xié)商（negotiation）過程中，或者
-假如在連接未完成時(shí)發(fā)生任何LDAP操作。

任何這些違反（規(guī)則）的請(qǐng)求結(jié)果是resultCode的operationsError（錯(cuò)誤代碼），在
本文上面2.3節(jié)描述過。

客戶程序可以（MAY）在發(fā)送啟動(dòng)TLS請(qǐng)求時(shí)已經(jīng)執(zhí)行了綁定（Bind）操作，或者還沒有
綁定。

假如客戶程序在發(fā)送任何其他請(qǐng)求之前沒有建立TLS連接，并且服務(wù)程序在執(zhí)行特定的
請(qǐng)求之前要求客戶程序建立TLS連接，服務(wù)程序必須（MUST）拒絕（客戶程序的）請(qǐng)求，并
返回confidentialityRequired或者strongAuthRequired結(jié)果。（而）客戶程序可以（MAY）
發(fā)送啟動(dòng)TLS擴(kuò)展請(qǐng)求，或者可以（MAY）選擇關(guān)閉連接。

3.2.啟動(dòng)TLS
假如服務(wù)程序愿意和有能力協(xié)商TLS，則服務(wù)程序?qū)⒎祷爻晒Φ膔esultCode擴(kuò)展回答。
假如不能，則返回本文上面描述的其他resultCodes。

在成功的情況下，客戶程序在連接中已經(jīng)停止了傳送LDAP請(qǐng)求，（客戶程序）必須（MUST）
或者開始TLS協(xié)商或者關(guān)閉連接。客戶程序?qū)⒃趯?duì)服務(wù)程序初始化TLS協(xié)商[TLS]的基于傳輸
連接的TLS記錄協(xié)議（TLSRecordProtocol）中發(fā)送PDUs。

3.3.TLS版本協(xié)商
應(yīng)用TLS或者SSL的版本協(xié)商是TLS握手協(xié)議（TLSHandshakeProtocol）的一部分，
在[TLS]文檔中具體描述，請(qǐng)參閱。

3.4.結(jié)果安全級(jí)的發(fā)現(xiàn)（DiscoveryofResultantSecurity
Level）
在TLS連接被建立在LDAP關(guān)聯(lián)之后，雙方必須（MUST）逐個(gè)判定是否繼續(xù)構(gòu)建（basedon）
私有級(jí)取得（theprivacylevelachieved）。查明TLS連接的私有級(jí)是執(zhí)行工具
（implementation）的依靠，以及通過各自的本地（local）TLS執(zhí)行完成。

假如客戶程序或者服務(wù)程序?qū)τ诶^續(xù)的執(zhí)行判定驗(yàn)證或者私有級(jí)還不夠高的級(jí)別，它應(yīng)
該（SHOULD）大方地在TLS協(xié)商已經(jīng)完成之后立即關(guān)閉TLS連接（參見4.1和5.2部分）。

客戶程序可以（MAY）嘗試再次啟動(dòng)TLS，或者可以（MAY）發(fā)送拆分（unbind）請(qǐng)求，
或者發(fā)送任何其他LDAP請(qǐng)求。

3.5.客戶程序授權(quán)身份（Client'sAuthorizationIdentity）
的斷言
客戶程序可以（MAY）在表明成功的啟動(dòng)TLS擴(kuò)展回答到達(dá)時(shí)，斷言在判定客戶程序的授
權(quán)狀態(tài)中特定的授權(quán)身份被利用。客戶程序通過LDAP綁定請(qǐng)求指定SASL[SASL]的"EXTERNAL"
機(jī)制來完成。參見本文后面的5.1.2部分。

3.6.服務(wù)程序身份檢查
客戶程序必須檢查針對(duì)存在于服務(wù)程序證書信息中的服務(wù)程序身份，以便理解服務(wù)程序
主機(jī)名，目的是為了阻止中間人攻擊（man-in-the-middleattacks）。

匹配執(zhí)行按照下列規(guī)則：

-客戶程序必須（MUST）使用打開LDAP連接的那個(gè)服務(wù)程序主機(jī)名作為比較在服務(wù)程序
證書中表示的服務(wù)程序名。客戶程序一定不能（MUSTNOT）使用服務(wù)程序規(guī)范的DNS名字
或者任何其他導(dǎo)出的形式名字（formofname）。

-假如類型dNSName的subjectAltName擴(kuò)展出現(xiàn)在證書中，它應(yīng)該被用于服務(wù)程序身份
的來源。

-匹配是大小寫無關(guān)的（case-insensitive）。

-通配符"*"是答應(yīng)的。假如存在，它僅適用于最左面名字的組成部分。
例如*.bar.com將匹配a.bar.com，b.bar.com，等等。但不能是bar.com。假如存在證書
中的給定類型的身份超過一個(gè)（例如，多于一個(gè)的dNSName名字），在（身份名字）集合中任
何一個(gè)被考慮是可接受的。

假如在上面每一個(gè)檢查規(guī)格中主機(jī)名沒有匹配基于dNSName（dNSName-based）的身份，
面向用戶的客戶程序應(yīng)該或者通知用戶（不管怎么樣程序可以（MAY）提供給用戶一個(gè)機(jī)會(huì)是
否繼續(xù)連接）或者決定連接并且指示服務(wù)程序的身份是受懷疑的。自動(dòng)化的客戶程序應(yīng)該
（SHOULD）關(guān)閉連接，返回和/或錯(cuò)誤日志表明服務(wù)程序的身份是受懷疑的。

超出這部分關(guān)于服務(wù)程序身份檢查的描述，客戶程序應(yīng)該（SHOULD）預(yù)備進(jìn)一步進(jìn)行檢
查以確保服務(wù)程序?qū)λ峁┑姆?wù)是被授權(quán)的。客戶程序可以（MAY）（需要）使用本地策略
信息。

3.7.服務(wù)程序能力信息的刷新
客戶程序必須（MUST）在TLS會(huì)話建立之上刷新任何緩存的服務(wù)程序能力的信息（例如，
來自服務(wù)程序根DSE；參見[LDAPv3]部分3.4）。這是避免主動(dòng)中間攻擊（active-intermediary
attacks）必要的，主動(dòng)中間攻擊可以在早于TLS建立之前已經(jīng)改變?nèi)魏伪粰z索的服務(wù)程序能
力信息。服務(wù)程序可以在TLS建立之后公告（advertise）不同的能力（信息）。

4.關(guān)閉TLS連接
4.1.舒緩關(guān)閉（GracefulClosure）
或者客戶程序或者服務(wù)程序可以（MAY）通過發(fā)送一TLS關(guān)閉警告結(jié)束關(guān)于LDAP關(guān)聯(lián)的
TLS連接。這將完整的離開LDAP關(guān)聯(lián)。

在關(guān)閉TLS連接之前，客戶程序必須（MUST）或者等待任何未完成的LDAP操作直到完成，
或者明示地（explicitly）放棄它們[LDAPv3]。

當(dāng)關(guān)閉的啟動(dòng)程序（initiatorofaclose）已經(jīng)發(fā)送一關(guān)閉警告之后，它必須（MUST）
丟棄（discard）任何TLS報(bào)文直到它已經(jīng)接收到從另一方來的警告。它將停止發(fā)送TLS記錄
協(xié)議（TLSRecordProtocol）PDUs，和隨著收到警告，可以（MAY）發(fā)送和接收LDAPPDUs。

另一方，假如接收到關(guān)閉警告，必須（MUST）立即發(fā)送一TLS關(guān)閉警告。它將隨后停止
發(fā)送TLS記錄協(xié)議PDUs，和可以（MAY）發(fā)送和接收LDAPPDUs。

4.2.忽然停止（AbruptClosure）
或者客戶程序或者服務(wù)程序可以（MAY）忽然地關(guān)閉整個(gè)LDAP關(guān)聯(lián)和任何建立其上的TLS
連接，通過撤銷TCP連接。服務(wù)程序在這種情況可以（MAY）預(yù)先預(yù)備好發(fā)送給客戶程序一斷
開連接通知（NoticeofDisconnection）[LDAPv3]。

5.關(guān)于客戶程序的授權(quán)身份的TLS效應(yīng)
（Effects）
這部分描述關(guān)于通過在LDAP關(guān)聯(lián)之上建立TLS所帶來的客戶程序的授權(quán)身份的效應(yīng)。首
先描述缺省效應(yīng)，接下來客戶程序的授權(quán)身份的斷言被討論，包括錯(cuò)誤狀況。最后，關(guān)閉TLS
連接的效應(yīng)被描述。

授權(quán)身份和相關(guān)概念定義在[AuthMeth]。

5.1.TLS連接建立效應(yīng)
5.1.1.缺省效應(yīng)
針對(duì)LDAP關(guān)聯(lián)的TLS連接建立之上，任何建立之前的驗(yàn)證和授權(quán)身份必須（MUST）有效
遺留（remaininforce），包括匿名狀況。這甚至在服務(wù)程序請(qǐng)求客戶程序通過TLS驗(yàn)證請(qǐng)
求情況中保持——例如，請(qǐng)求客戶程序在TLS協(xié)商期間提供它的證書（參見[TLS]）。

5.1.2.授權(quán)身份的客戶斷言
客戶程序可以（MAY）或者隱含來自它的已授權(quán)的TLS證實(shí)（authenticatedTLS
credentials）的LDAP授權(quán)身份，或者它可以（MAY）顯示地提供一授權(quán)身份并且它被用在與
它的已授權(quán)的TLS證實(shí)的結(jié)合。前者稱為隱式斷言，后者稱為顯式斷言。

5.1.2.1.隱式斷言（ImplicitAssertion）
隱式授權(quán)身份斷言在通過調(diào)用SASL形式的綁定請(qǐng)求的TLS建立之后完成，SASL形式的
綁定請(qǐng)求使用不應(yīng)該（SHALLNOT）包括可選證實(shí)的八位組（octet）字符串（在綁定請(qǐng)求的
SaslCredentials序列中發(fā)現(xiàn)）的"EXTERNAL"機(jī)制名字[SASL,LDAPv3]。服務(wù)程序?qū)姆?br />本地策略的客戶程序證實(shí)（典型的公鑰證書）中提供的驗(yàn)證標(biāo)識(shí)（authenticationidentity）
導(dǎo)出客戶程序的授權(quán)身份。如何實(shí)現(xiàn)（上述斷言）由特定的工具做到。

5.1.2.2.顯式斷言（ExplicitAssertion）
顯式授權(quán)身份斷言在通過調(diào)用SASL形式的綁定請(qǐng)求的TLS建立之后完成，SASL形式的
綁定請(qǐng)求使用應(yīng)該（SHALL）包括證實(shí)八位組（octet）字符串的"EXTERNAL"機(jī)制名字[SASL,
LDAPv3]。字符串必須（MUST）作為[AuthMeth]部分9中的文檔的組成部分。

5.1.2.3.錯(cuò)誤狀況（ErrorConditions）
不管斷言的形式如何，服務(wù)程序必須（MUST）核實(shí)客戶程序的授權(quán)身份作為提供在它的
TLS證實(shí)中是答應(yīng)映射到斷言授權(quán)身份的。服務(wù)程序必須（MUST）拒絕在綁定回答中以
invalidCredentialsresultCode（回答）的綁定操作，假如客戶程序沒有被這樣授權(quán)。

作為斷言形式的補(bǔ)充，假如TLS會(huì)話還沒有在制作SASLEXTERNAL綁定請(qǐng)求之前在客戶
程序和服務(wù)程序之間建立，并且沒有其他的外來證實(shí)（例如ip-levelsecurity[IPSEC]），
或者假如在TLS會(huì)話建立處理期間，服務(wù)程序沒有請(qǐng)求客戶程序的證實(shí)，SASLEXTERNAL綁
定必須（MUST）以結(jié)果碼inappropriateAuthentication失敗。

在上述綁定操作失敗后，任何客戶程序的證實(shí)和LDAP關(guān)聯(lián)的授權(quán)狀態(tài)丟失，所以失敗之
后LDAP關(guān)聯(lián)是匿名狀態(tài)。TLS連接狀態(tài)不受影響，服務(wù)程序可以（MAY）在綁定失敗的基礎(chǔ)
上通過TLS關(guān)閉通知（close_notify）報(bào)文結(jié)束TLS連接（可以（MAY）在任何時(shí)候）。

5.2.TLS連接關(guān)閉效應(yīng)
TLS連接的關(guān)閉必須（MUST）引發(fā)（cause）LDAP關(guān)聯(lián)移向匿名證實(shí)和授權(quán)狀態(tài)，而不管
基于TLS之上建立的狀態(tài)以及不管TLS連接建立之前證實(shí)和授權(quán)的狀態(tài)如何。

6.安全考慮
關(guān)于LDAP使用TLS協(xié)議的目的是確保連接的機(jī)密性（confidentiality）和完整性
（integrity），以及可選擇提供的（身份）證實(shí)。TLS專門提供的這些能力在[TLS]中描述。

所有通過啟動(dòng)TLS操作的使用獲得的安全通過TLS自身的使用得到改善。啟動(dòng)TLS操作，
作為它自己，沒有提供任何額外的安全。

TLS的使用沒有提供或者確保通過基于LDAP（LDAP-based）目錄服務(wù)數(shù)據(jù)入住（thedata
housed）的機(jī)密性和/或不可否認(rèn)性（non-repudiation）。也沒有保護(hù)數(shù)據(jù)免于服務(wù)治理者的
審查（inspection）。一旦建立（完成），TLS僅提供和確保在LDAP關(guān)聯(lián)之上傳輸中的操作和
數(shù)據(jù)的機(jī)密性和完整性，并且僅當(dāng)客戶程序和服務(wù)程序都支持和協(xié)商（建立）。

安全級(jí)（Thelevelofsecurity）通過直接依靠于TLS工具（implementation）使用的
質(zhì)量（quality）和使用方式（style）的TLS的使用提供。另外，主動(dòng)中間攻擊者
（active-intermediaryattacker）能夠從根DSE（therootDSE）的supportedExtension
屬性中除去（remove）啟動(dòng)TLS擴(kuò)展操作。因此，雙方應(yīng)該（SHOULD）獨(dú)立地查明和同意
TLS建立后取得的安全級(jí)，以及在TLS連接使用開始之前。例如，TLS連接的安全級(jí)可以已經(jīng)
協(xié)商到明文（plaintext）。

客戶程序應(yīng)該（SHOULD）或者警告用戶，當(dāng)取得的安全級(jí)沒有提供機(jī)密性和/或完整性保
護(hù)，或者被配置為在沒有可接受的安全級(jí)時(shí)拒絕繼續(xù)執(zhí)行。

客戶和服務(wù)實(shí)現(xiàn)程序應(yīng)該（SHOULD）采取措施確保恰當(dāng)?shù)模ㄉ矸荩┳C實(shí)保護(hù)和其它沒有
被TLS工具提供（這樣）措施（保護(hù)）的機(jī)密數(shù)據(jù)（的保護(hù)）。

服務(wù)實(shí)現(xiàn)程序應(yīng)該（SHOULD）答應(yīng)服務(wù)治理者選擇（elect）當(dāng)連接機(jī)密和/或完整性被
需求時(shí)的任何一個(gè)，還可以選擇當(dāng)客戶程序通過TLS授權(quán)被需求時(shí)的任何一個(gè)。

7.確認(rèn)
作者感謝為這篇文章做出貢獻(xiàn)的TimHowes,PaulHoffman,JohnKristian,Shirish
Rai,JonathanTrostle,HaraldAlvestrand,和MarcusLeech。

8.參考
[AuthMeth]Wahl,M.,Alvestrand,H.,Hodges,J.andR.Morgan,
"AuthenticationMethodsforLDAP",RFC2829,May2000.

[IPSEC]Kent,S.andR.Atkinson,"SecurityArchitecturefor
theInternetProtocol",RFC2401,November1998.

[LDAPv3]Wahl,M.,KilleS.andT.Howes,"Lightweight
DirectoryaccessProtocol(v3)",RFC2251,December
1997.

[ReqsKeywords]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.

[SASL]Myers,J.,"SimpleAuthenticationandSecurityLayer
(SASL)",RFC2222,October1997.

[TLS]Dierks,T.andC.Allen."TheTLSProtocolVersion
1.0",RFC2246,January1999.

9.作者地址
JeffHodges
Oblix,Inc.
18922ForgeDrive
Cupertino,CA95014
USA

Phone:+1-408-861-6656
EMail:JHodges@oblix.com

RL"Bob"Morgan
ComputingandCommunications
UniversityofWashington
Seattle,WA
USA

Phone:+1-206-221-3307
EMail:rlmorgan@washington.edu

MarkWahl
SunMicrosystems,Inc.
8911CapitalofTexasHwy#4140
AustinTX78759
USA

EMail:M.Wahl@innosoft.com

10.知識(shí)產(chǎn)權(quán)聲明
IETF沒有擔(dān)任關(guān)于任何知識(shí)產(chǎn)權(quán)或者其他版權(quán)（rights）正當(dāng)或者范圍的（職位），這
里所說的版權(quán)是指在本文中可以聲明屬于實(shí)現(xiàn)工具（implementation）或者技術(shù)的使用，或
者在這樣版權(quán)之下的任何可以或者不可以有效的許可（license）的擴(kuò)展；也沒有做出任何努
力去識(shí)別（identify）這樣的版權(quán)。關(guān)于在標(biāo)準(zhǔn)軌跡（standards-track）和標(biāo)準(zhǔn)相關(guān)
（standards-related）的文檔中的IETF的流程（procedures）信息能在BCP-11中找到。版
權(quán)聲明的拷貝對(duì)出版有效以及任何許可保證將有效，或者嘗試獲得通用許可，或者通過實(shí)現(xiàn)
工具或者這個(gè)規(guī)格說明書的用戶答應(yīng)使用這樣的知識(shí)產(chǎn)權(quán)的使用能從IETF秘書處得到。

IETF邀請(qǐng)任何參與的各方（interestedparty）帶來他們的任何版權(quán)（copyrights）的
考慮（attention），專利或者專利應(yīng)用，或者其他知識(shí)產(chǎn)權(quán)其可以實(shí)踐這些標(biāo)準(zhǔn)替代技術(shù)的
將被需求的（版權(quán)）。請(qǐng)將信息發(fā)送給IETF執(zhí)行主管（IETFExecutiveDirector）。

11.完整版權(quán)聲明
版權(quán)（C）因特網(wǎng)協(xié)會(huì)（2001）。版權(quán)所有。

這個(gè)文檔和它的翻譯可以拷貝和分配給其他人，以及有關(guān)評(píng)論或者別樣的解釋或者其應(yīng)
用的幫助等派生工作可以被預(yù)備、拷貝、發(fā)表和發(fā)布，其整體或者部分沒有受到任何限制，
提供上述版權(quán)通知以及本段落應(yīng)被包含在所有這樣的拷貝和派生工作中。然而，這個(gè)文檔本
身不可以以任何方式修改，例如移走版權(quán)通知或者Internet協(xié)會(huì)或其他Internet組織的參考，
除非為了發(fā)展Internet標(biāo)準(zhǔn)（其版權(quán)程序定義在InternetStandards進(jìn)程如下），或者需要翻譯
成除英語以外的其他語言。

上述限制答應(yīng)授權(quán)是持久的并且將不被Internet協(xié)會(huì)或者它的繼續(xù)人隱藏或者轉(zhuǎn)讓。

譯者注：對(duì)于本文檔的完整版權(quán)聲明原文如下：

FullCopyrightStatement

Copyright(C)TheInternetSociety(2001).AllRightsReserved.

Thisdocumentandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseexplainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurpoSEOf
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.

Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.

Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.