專利名稱:保護(hù)輕量級(jí)目錄訪問(wèn)協(xié)議的通信的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及數(shù)據(jù)管理的領(lǐng)域����,尤其涉及保護(hù)輕量級(jí)目錄訪問(wèn)協(xié)議的通信��。
背景技術(shù):
輕量級(jí)目錄訪問(wèn)協(xié)議(也可縮寫(xiě)為“LDAP”)是一種應(yīng)用程序模塊(例如�����,操作系統(tǒng)組件�、獨(dú)立應(yīng)用程序、等等)可用來(lái)訪問(wèn)各種數(shù)據(jù)的因特網(wǎng)協(xié)議�����。例如�,應(yīng)用程序模塊可以從LDAP服務(wù)器訪問(wèn)聯(lián)系信息����。LDAP服務(wù)器允許存儲(chǔ)�、搜索����、顯示和更新類目錄的信息。例如��,可將LDAP服務(wù)器配置成組織或組織單元的中央目錄�。此外,可將LDAP服務(wù)器用于管理用戶和計(jì)算機(jī)賬戶身份��,還可配置成在用戶認(rèn)證中使用���。
但是�,在一些實(shí)施中��,LDAP服務(wù)器可能包括不受保護(hù)的數(shù)據(jù)���,潛在的不可信賴的客戶機(jī)可訪問(wèn)這些數(shù)據(jù)�����,因此導(dǎo)致可能將LDAP服務(wù)器和其上可訪問(wèn)的數(shù)據(jù)曝露給來(lái)自惡意方的攻擊�。例如,LDAP服務(wù)器可配置成在LDAP目錄中包括公司的內(nèi)部信息���,該信息可能包括諸如用戶賬戶信息�、公司服務(wù)器位置等敏感數(shù)據(jù)�����。據(jù)此���,位于該公司環(huán)境內(nèi)部(例如�,經(jīng)由公司內(nèi)聯(lián)網(wǎng))的用戶可訪問(wèn)LDAP目錄以獲得諸如用戶服務(wù)器管理和用戶認(rèn)證等所希望的數(shù)據(jù)��。但是����,位于此環(huán)境“外部”(例如,經(jīng)由因特網(wǎng))的客戶機(jī)可能也需要訪問(wèn)此數(shù)據(jù)�,諸如出于“電子商務(wù)”的目的訪問(wèn)用戶賬戶。因此����,即使LDAP服務(wù)器可位于公司內(nèi)聯(lián)網(wǎng)的“內(nèi)部”�,這些LDAP目錄仍可向該公司內(nèi)聯(lián)網(wǎng)外部的客戶機(jī)展示��,這可能導(dǎo)致其被相應(yīng)地向企圖獲取此數(shù)據(jù)的黑客攻擊展示��。
因此�����,一直以來(lái)都有對(duì)可用于保護(hù)利用輕量級(jí)目錄訪問(wèn)協(xié)議的通信的技術(shù)的需求���。
發(fā)明內(nèi)容
描述了一種輕量級(jí)目錄訪問(wèn)協(xié)議過(guò)濾器模塊(LDAP過(guò)濾器模塊),可執(zhí)行此模塊以保護(hù)根據(jù)輕量級(jí)目錄訪問(wèn)協(xié)議配置的通信�。例如,可將LDAP過(guò)濾器模塊布置在根據(jù)輕量級(jí)目錄訪問(wèn)協(xié)議組織數(shù)據(jù)的LDAP目錄與請(qǐng)求訪問(wèn)LDAP目錄的應(yīng)用程序之間���。當(dāng)執(zhí)行LDAP過(guò)濾器模塊,它可截取和解析請(qǐng)求和/或?qū)φ?qǐng)求的響應(yīng),以強(qiáng)制執(zhí)行一個(gè)或多個(gè)策略�����,從而對(duì)關(guān)于LDAP目錄可執(zhí)行的LDAP動(dòng)作進(jìn)行限制��。例如�,該策略可指定不執(zhí)行某特定LDAP操作(例如���,“修改”),不對(duì)某特定對(duì)象執(zhí)行某特定LDAP操作(例如���,“刪除用戶名”)����,非認(rèn)證用戶不得訪問(wèn)某特定LDAP對(duì)象(例如��,“密碼”)��,等等��。因此�����,LDAP過(guò)濾器模塊可管理LDAP目錄和應(yīng)用程序之間的通信�����。
還可提供一個(gè)用戶界面��,用于配置由LDAP過(guò)濾器模塊實(shí)現(xiàn)的策略。例如�����,該用戶界面可提供多個(gè)LDAP動(dòng)作的描述�����。用戶與用戶界面交互以選擇這些描述中的一個(gè)或多個(gè)����,來(lái)指示要或不要執(zhí)行所描述的LDAP動(dòng)作?���?衫么私换?lái)?yè)?jù)此配置可由LDAP過(guò)濾器模塊實(shí)現(xiàn)以管理通信的策略����。
圖1所示是一個(gè)示例性實(shí)施中可進(jìn)行輕量級(jí)目錄訪問(wèn)協(xié)議通信的環(huán)境。
圖2所示環(huán)境是在公司內(nèi)聯(lián)網(wǎng)內(nèi)部實(shí)現(xiàn)圖1的多個(gè)客戶機(jī)�����、多個(gè)服務(wù)器���、和LDAP過(guò)濾設(shè)備���,且這些客戶機(jī)���、服務(wù)器和LDAP過(guò)濾設(shè)備可經(jīng)由因特網(wǎng)由多個(gè)計(jì)算設(shè)備訪問(wèn)。
圖3所示環(huán)境是在公司內(nèi)聯(lián)網(wǎng)內(nèi)部將圖1的LDAP過(guò)濾設(shè)備實(shí)現(xiàn)為專用服務(wù)器���,以向多個(gè)客戶機(jī)提供LDAP目錄����。
圖4所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程的流程圖�,在該過(guò)程中,執(zhí)行圖1的LDAP過(guò)濾器模塊以管理客戶機(jī)和服務(wù)器之間通過(guò)網(wǎng)絡(luò)利用LDAP所進(jìn)行的通信���。
圖5所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程的流程圖�,在該過(guò)程中�����,修改LDAP過(guò)濾器模塊所截取的�、要求執(zhí)行不受允許的LDAP動(dòng)作的請(qǐng)求,以使該請(qǐng)求所指定的修改后的LDAP動(dòng)作受到允許�����。
圖6所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程的流程圖,在該過(guò)程中�����,修改LDAP過(guò)濾器模塊所截取的����、由執(zhí)行不受某個(gè)策略允許的LDAP動(dòng)作所產(chǎn)生的響應(yīng),以使修改后的響應(yīng)遵從該策略��。
圖7所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程的流程圖�����,在該過(guò)程中��,用戶通過(guò)經(jīng)由用戶界面選擇將一個(gè)或多個(gè)屬性包括到一個(gè)策略中來(lái)經(jīng)由用戶界面設(shè)計(jì)策略�。
圖8-10所示是可通過(guò)執(zhí)行圖1的LDAP過(guò)濾器模塊來(lái)配置策略而輸出的示例性用戶界面的頁(yè)面��。
圖11-20所示是可通過(guò)執(zhí)行圖1的LDAP過(guò)濾器模塊來(lái)配置策略而輸出的另一個(gè)示例性用戶界面的頁(yè)面和對(duì)話框�。
在討論中的實(shí)例中用相同的標(biāo)號(hào)來(lái)指示相似的結(jié)構(gòu)和組件。
具體實(shí)施例方式
圖1所示是一個(gè)示例性實(shí)施中可進(jìn)行輕量級(jí)目錄訪問(wèn)協(xié)議通信的環(huán)境100����。圖示環(huán)境100描繪了多個(gè)客戶機(jī)102(n)��,其中“n”可為從1到“N”的任何整數(shù)�。圖示多個(gè)客戶機(jī)102(n)為通過(guò)網(wǎng)絡(luò)106��,通信耦合到多個(gè)服務(wù)器104(m)�,其中“m”可為從1到“M”的任何整數(shù)。多個(gè)客戶機(jī)102(n)和服務(wù)器104(m)中的每一個(gè)可以各種方式配置����。例如,客戶機(jī)102(n)中的一個(gè)或多個(gè)可配置成可通過(guò)網(wǎng)絡(luò)106進(jìn)行通信的計(jì)算設(shè)備��,諸如臺(tái)式計(jì)算機(jī)���、移動(dòng)電臺(tái)���、娛樂(lè)裝置、通信耦合到顯示設(shè)備的機(jī)頂盒�、游戲控制臺(tái)、無(wú)線電話����、等等���。客戶機(jī)102(n)的范圍可從具有實(shí)質(zhì)存儲(chǔ)器和處理器資源的完整資源設(shè)備(例如��,個(gè)人計(jì)算機(jī)�����、游戲控制臺(tái)��、等等)到具有有限存儲(chǔ)器和/或處理資源的低資源設(shè)備(例如�,傳統(tǒng)的機(jī)頂盒)。為以下討論����,客戶機(jī)102(n)還可涉及操作各個(gè)客戶機(jī)的個(gè)人和/或?qū)嶓w。換言之�����,客戶機(jī)102(n)可描述包括用戶和/或機(jī)器在內(nèi)的邏輯客戶機(jī)���。
類似地,多個(gè)服務(wù)器104(m)也可以各種方式配置����,范圍從完整資源設(shè)備到低資源設(shè)備�,等等�。由此,術(shù)語(yǔ)“服務(wù)器”和“客戶機(jī)”不一定表示各服務(wù)器和客戶機(jī)分別提供的存儲(chǔ)器和處理器資源的量�。例如,客戶機(jī)102(n)中的一個(gè)或多個(gè)可配置成包括實(shí)質(zhì)處理器和存儲(chǔ)器資源���,而服務(wù)器104(m)中的一個(gè)或多個(gè)可配置成包括有限處理器和存儲(chǔ)器資源�。
圖示客戶機(jī)102(n)各自具有處理器108(n)和存儲(chǔ)器110(n)�����。類似地�����,圖示服務(wù)器104(m)也各自具有處理器112(m)和存儲(chǔ)器114(m)��。處理器不受構(gòu)造的材料或其中所用的處理機(jī)制所限制���。例如��,處理器可由半導(dǎo)體和/或晶體管(例如��,電子集成電路(IC))組成����。在這樣的上下文中,處理器可執(zhí)行指令可為電子可執(zhí)行指令����。或者�,處理器的機(jī)制或用于處理器的機(jī)制(并因此推廣到計(jì)算設(shè)備)可包括,但不限于���,量子計(jì)算�����、光計(jì)算�、機(jī)械計(jì)算(例如�����,納米技術(shù))��、等等�����。此外�����,盡管為客戶機(jī)102(n)和服務(wù)器104(n)中的每一個(gè)分別示出單個(gè)存儲(chǔ)器110(n)���、114(m)���,存儲(chǔ)器110(n)、114(m)可表示各種類型的存儲(chǔ)器設(shè)備及其組合����,諸如隨機(jī)存取存儲(chǔ)器(RAM)、硬盤(pán)存儲(chǔ)器���、可移動(dòng)介質(zhì)存儲(chǔ)器�、等等����。
網(wǎng)絡(luò)106配置成根據(jù)諸如輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)等目錄訪問(wèn)協(xié)議提供數(shù)據(jù)通信。LDAP是面向消息的目錄訪問(wèn)協(xié)議��,它使客戶機(jī)102(n)和服務(wù)器104(m)能通過(guò)網(wǎng)絡(luò)106彼此通信。例如��,LDAP可配置成在傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)上運(yùn)行�����,以允許客戶機(jī)102(n)與服務(wù)器104(m)上可用的LDAP目錄116(m)交互��。LDAP目錄116(m)表示任何用LDAP可訪問(wèn)的目錄����,并因此不限于諸如某特定軟件供應(yīng)商所實(shí)現(xiàn)的一類目錄類型等任何專門(mén)類型的目錄。
在一個(gè)實(shí)施中�,LDAP目錄116(m)是根據(jù)分層(即,“樹(shù)”)結(jié)構(gòu)來(lái)組織的�。分層結(jié)構(gòu)可配置成反映各種結(jié)構(gòu),諸如公司組織圖表����、地理分界、等等�。例如,LDAP目錄116(m)可包括多個(gè)對(duì)象118(o)���,其中“o”可以是從1到“O”的任何整數(shù)�����。對(duì)象118(o)(即�����,條目)中的每一個(gè)都是由名字指定的一個(gè)或多個(gè)屬性的集合����,該名字可稱為該集合的特異名字����。特異名字用于無(wú)岐義地稱呼對(duì)應(yīng)的對(duì)象。在一個(gè)實(shí)現(xiàn)中�,對(duì)象118(o)的每一個(gè)屬性都具有一個(gè)類型及一個(gè)或多個(gè)值。類型通常經(jīng)由名字或助記符描述�����,諸如公共名字稱為“cn”�,電子郵件稱為“mail”,等等����。值可包含對(duì)應(yīng)于屬性的各種數(shù)據(jù)�����。例如�,“mail”屬性可包括值“test@test.com”�。
利用LDAP可執(zhí)行各種動(dòng)作,為以下討論起見(jiàn)����,將把這些動(dòng)作稱為“LDAP動(dòng)作”。例如��,LDAP功能模型支持各種LDAP操作����,諸如質(zhì)詢操作、更新操作���、及認(rèn)證和控制操作��。質(zhì)詢操作的例子包括“搜索”和“比較”�。例如���,搜索操作可用于定位多個(gè)對(duì)象118(o)中的某個(gè)單一對(duì)象��,搜索位于LDAP目錄116(m)的分層結(jié)構(gòu)中的子樹(shù)內(nèi)的多個(gè)對(duì)象����,等等。比較操作可用于比較某特定對(duì)象118(o)是否包括某特定值��。
更新操作的例子包括“添加”�����、“刪除”�����、“修改”和“重命名”(即��,更改名字)�����。這些操作分別提供添加���、刪除、改變和重命名對(duì)象118(o)的能力。認(rèn)證和控制操作的例子包括“綁定”�、“解除綁定”、和“放棄”�����。當(dāng)執(zhí)行綁定操作時(shí)��,它允許客戶機(jī)102(n)通過(guò)交流認(rèn)證信息向服務(wù)器104(m)�,尤其是LDAP路徑116(m)標(biāo)識(shí)其自身。執(zhí)行解除綁定操作允許服務(wù)器104(m)棄置認(rèn)證信息�����。放棄操作向客戶機(jī)102(n)提供向服務(wù)器104(m)指示先前發(fā)送的LDAP操作不再需要執(zhí)行的能力�。例如,客戶機(jī)102(n)可發(fā)起搜索操作以定位某特定對(duì)象118(o)�,然后發(fā)起放棄操作以使服務(wù)器104(m)終止該搜索操作。盡管描述了9個(gè)LDAP操作����,諸其它LDAP操作也在LDAP動(dòng)作的精神和范圍之內(nèi),如LDAP擴(kuò)展操作�����、LDAP控制和提供簡(jiǎn)單認(rèn)證和安全層(SASL)支持的LDAP操作等。
LDAP可用于提供各種不同平臺(tái)之間的通信��,因此可被視為“獨(dú)立于平臺(tái)”����。由此,本文中所描述的特征是獨(dú)立于平臺(tái)的����,意即可在具有各種處理器的各種商業(yè)計(jì)算平臺(tái)上實(shí)現(xiàn)戰(zhàn)略。例如�����,如前所述的客戶機(jī)102(n)和服務(wù)器104(m)可以各種方式配置���,并用LDAP兩兩通信。因此��,LDAP通信模塊120(n)(圖示為在處理器108(n)上執(zhí)行并可存儲(chǔ)在客戶機(jī)102(n)的存儲(chǔ)器110(n)中)可經(jīng)由網(wǎng)絡(luò)106與LDAP通信模塊122(m)(圖示為在處理器112(m)上執(zhí)行并可存儲(chǔ)在服務(wù)器104(m)上的存儲(chǔ)器114(m)中)通信���,無(wú)論對(duì)應(yīng)的計(jì)算設(shè)備分別使用什么配置��。LDAP通信模塊120(n)�、122(m)可標(biāo)識(shí)任何可根據(jù)LDAP傳送數(shù)據(jù)(例如,消息)的模塊���。例如���,可在客戶機(jī)102(n)可執(zhí)行的應(yīng)用程序內(nèi)實(shí)現(xiàn)LDAP通信模塊120(n)。
如前所述��,利用LDAP的通信可用消息來(lái)執(zhí)行�。例如,客戶機(jī)102(n)可執(zhí)行LDAP通信模塊120(n)以構(gòu)成經(jīng)由網(wǎng)絡(luò)106到服務(wù)器104(m)的請(qǐng)求���。服務(wù)器104(m)可通過(guò)執(zhí)行LDAP通信模塊122(m)以訪問(wèn)LDAP目錄116(m)來(lái)構(gòu)造一個(gè)或多個(gè)響應(yīng)的方式處理請(qǐng)求�����,響應(yīng)通過(guò)網(wǎng)絡(luò)106傳回客戶機(jī)102(n)��。例如���,這些響應(yīng)可包括答案(例如,電子郵件地址)或引用可找到答案的網(wǎng)絡(luò)位置的指針���。但是��,先前對(duì)LDAP目錄116(m)的訪問(wèn)是不受保護(hù)的�����。從而�����,對(duì)LDAP目錄116(m)中的對(duì)象118(o)的訪問(wèn)也不受保護(hù)���。因此�����,一旦客戶機(jī)102(n)獲得對(duì)LDAP目錄116(m)的訪問(wèn)�����,客戶機(jī)102(n)即可訪問(wèn)對(duì)象118(o)中的每一個(gè),其中的一些對(duì)象可能包含敏感信息�,諸如用戶信用卡信息、家庭地址���、密碼�、等等。
為了管理客戶機(jī)102(n)和服務(wù)器104(m)之間傳送的數(shù)據(jù)�,并由此防止對(duì)LDAP目錄116(m)中的對(duì)象118(o)的非授權(quán)的訪問(wèn),環(huán)境100可使用LDAP過(guò)濾器模塊124�����。圖示LDAP過(guò)濾器模塊124為在處理器126上執(zhí)行并可存儲(chǔ)在LDAP過(guò)濾設(shè)備130的存儲(chǔ)器128中��,在本例中����,圖示LDAP過(guò)濾設(shè)備在通信上耦合到多個(gè)客戶機(jī)102(n)和多個(gè)服務(wù)器104(m)之間的網(wǎng)絡(luò)106。當(dāng)執(zhí)行LDAP過(guò)濾器模塊124時(shí)����,它根據(jù)多個(gè)策略132(1)、……��、132(p)�、……、132(P)中的一個(gè)或數(shù)個(gè)管理通信�����,圖示這些策略存儲(chǔ)在LDAP過(guò)濾設(shè)備130的存儲(chǔ)器128中的數(shù)據(jù)庫(kù)134中����。
多個(gè)策略132(1)-132(P)可以各種方式配置來(lái)描述可經(jīng)由網(wǎng)絡(luò)106所使用的LDAP執(zhí)行的可允許的和不允許的動(dòng)作�����。圖1示出多個(gè)策略132(1)-132(P)中的每一個(gè)都分別引用多個(gè)LDAP動(dòng)作136(1)���、……、136(p)�、……、136(P)中的一個(gè)���。例如����,圖示LDAP動(dòng)作136(1)為引用某特定LDAP操作138是否受允許執(zhí)行�����。例如����,策略136(1)所引用的LDAP動(dòng)作136(1)可指示“修改”LDAP操作關(guān)于LDAP目錄116(m)是不受允許的��。因此,當(dāng)LDAP過(guò)濾器模塊124引用策略132(1)時(shí)�,該策略可用于防止對(duì)LDAP目錄116(m)執(zhí)行“修改”LDAP操作。
在另一個(gè)實(shí)例中�����,策略132(p)可引用同時(shí)包括LDAP操作140和特定LDAP對(duì)象142兩者的LDAP動(dòng)作136(p)�。例如,策略132(p)可限制修改特定對(duì)象118(o)(例如����,“用戶登錄名”)并同時(shí)允許修改其它對(duì)象(例如,用戶密碼)�,而不是防止執(zhí)行所有“修改”LDAP操作。策略132(P)還可描述“其它”144類型的LDAP動(dòng)作136(P)���,諸如在客戶機(jī)102(n)中的一個(gè)或多個(gè)經(jīng)由因特網(wǎng)連接時(shí)����,僅允許來(lái)自客戶機(jī)102(n)的定位符查驗(yàn)定位出服務(wù)器104(m)中的一個(gè)或多個(gè)等��。
LDAP過(guò)濾器模塊124���、LDAP過(guò)濾設(shè)備130���、多個(gè)客戶機(jī)102(n)和多個(gè)服務(wù)器104(m)可在各種不同環(huán)境中實(shí)現(xiàn)����。例如���,LDAP過(guò)濾器模塊124可實(shí)現(xiàn)為專用LDAP服務(wù)器上的網(wǎng)絡(luò)防火墻設(shè)備(關(guān)于圖2示出此類的一個(gè)例子)��,等等�����。
一般而言�����,本文中所描述的任何功能可用軟件���、固件(例如,固定邏輯電路)���、人工處理���、或這些實(shí)現(xiàn)的組合來(lái)實(shí)現(xiàn)�。如本文中所用的術(shù)語(yǔ)“模塊”��、“功能”和“邏輯”一般表示軟件�、固件�����、或軟件與固件的結(jié)合����。在軟件實(shí)現(xiàn)的情形中,模塊�、功能或邏輯表示在處理器(例如,一個(gè)或多個(gè)CPU)上執(zhí)行時(shí)執(zhí)行指定任務(wù)的程序代碼�。程序代碼可存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)設(shè)備中,諸如存儲(chǔ)器110(n)����、114(m)、128����。如前所述���,以下所述的LDAP管理戰(zhàn)略是獨(dú)立于平臺(tái)的,意即可在具有各種處理器的各種商業(yè)計(jì)算平臺(tái)上實(shí)現(xiàn)戰(zhàn)略���。
圖2所示環(huán)境200是在公司內(nèi)聯(lián)網(wǎng)內(nèi)部實(shí)現(xiàn)圖1的多個(gè)客戶機(jī)102(n)����、多個(gè)服務(wù)器104(m)�、和LDAP過(guò)濾設(shè)備130,以提供經(jīng)由因特網(wǎng)對(duì)多個(gè)計(jì)算設(shè)備的訪問(wèn)��。在圖2的環(huán)境200中���,示出“前端/后端”服務(wù)器體系結(jié)構(gòu)����,它可用于提供各種功能��,諸如電子商務(wù)���、對(duì)雇員的遠(yuǎn)程訪問(wèn)�、等等����。在此體系結(jié)構(gòu)中����,服務(wù)器任務(wù)分布在各前端和后端服務(wù)器202����、204之間�。
例如,前端服務(wù)器202可配置成通過(guò)因特網(wǎng)208從多個(gè)計(jì)算設(shè)備206(1)�、……、206(a)�����、……��、206(A)接受請(qǐng)求�����。圖1的多個(gè)客戶機(jī)102(n)在圖2中配置成前端服務(wù)器202���,以經(jīng)由網(wǎng)絡(luò)傳送請(qǐng)求供多個(gè)后端服務(wù)器204中的一個(gè)或數(shù)個(gè)處理����。因此,在圖2的環(huán)境中���,前端服務(wù)器202是后端服務(wù)器204的“客戶機(jī)”��。后端服務(wù)器204中的至少一個(gè)配置成圖1的服務(wù)器104(m)��,因而包括LDAP目錄116(m)��。在一個(gè)實(shí)現(xiàn)中�,LDAP目錄116(m)提供客戶102(n)(即���,前端服務(wù)器202)請(qǐng)求的數(shù)據(jù)��,諸如電子商務(wù)用的用戶賬戶信息等��。在另一個(gè)實(shí)現(xiàn)中��,LDAP服務(wù)器104(m)提供描述在不同的后端服務(wù)器204上的何處定位所需數(shù)據(jù)的數(shù)據(jù)���。換言之,此實(shí)現(xiàn)中的LDAP目錄116(m)“指向”其它后端服務(wù)器204的網(wǎng)絡(luò)地址�。因此����,LDAP目錄116(m)可如此配置����,使客戶102(n)可訪問(wèn)LDAP目錄116(m)以尋找諸如用戶賬戶信息等所需數(shù)據(jù)的網(wǎng)絡(luò)位置。
為了避免由于前端服務(wù)器202向多個(gè)計(jì)算設(shè)備206(1)-206(A)展示而使后端服務(wù)器204受到攻擊���,LDAP過(guò)濾設(shè)備130可配置成網(wǎng)絡(luò)防火墻設(shè)備210���。圖示網(wǎng)絡(luò)防火墻設(shè)備為布置在網(wǎng)絡(luò)106上的前端和后端服務(wù)器202���、204之間��。網(wǎng)絡(luò)防火墻設(shè)備210執(zhí)行LDAP過(guò)濾器模塊124以管理服務(wù)器202����、204之間的通信��,并由此限制計(jì)算設(shè)備206(1)-206(A)對(duì)后端服務(wù)器204的非授權(quán)訪問(wèn)�。例如,LDAP過(guò)濾器模塊124可提供對(duì)用LDAP傳送的數(shù)據(jù)����、對(duì)請(qǐng)求和響應(yīng)認(rèn)證等的過(guò)濾���。
圖3所示環(huán)境300是在公司內(nèi)聯(lián)網(wǎng)302內(nèi)部將圖1的LDAP過(guò)濾設(shè)備130實(shí)現(xiàn)為服務(wù)器304,以向多個(gè)客戶機(jī)102(1)-102(N)提供LDAP目錄134����。在圖2的環(huán)境200中,LDAP過(guò)濾設(shè)備103實(shí)現(xiàn)為“獨(dú)立”網(wǎng)絡(luò)防火墻設(shè)備���。LDAP過(guò)濾器模塊124的功能還可包括在多個(gè)服務(wù)器104(m)中的一個(gè)或多個(gè)之內(nèi)���,如圖3中所示。例如��,多個(gè)客戶機(jī)102(1)-102(N)可執(zhí)行各個(gè)LDAP通信模塊120(1)-120(N)來(lái)構(gòu)造定位受多個(gè)服務(wù)器104(m)實(shí)現(xiàn)的LDAP目錄116(m)引用的數(shù)據(jù)的請(qǐng)求�����。盡管關(guān)于圖1����、2和3描述了示例性環(huán)境100、200、300�,還可構(gòu)想諸如通過(guò)將圖1的LDAP過(guò)濾設(shè)備130實(shí)現(xiàn)為代理等各種其它示例性環(huán)境,而不會(huì)偏離本發(fā)明的精神和范圍�����。
示例性過(guò)程以下討論描述可用先前所描述的系統(tǒng)和設(shè)備實(shí)現(xiàn)的管理LDAP通信的技術(shù)��。這些過(guò)程中的每一個(gè)的各個(gè)方面都可用硬件�����、固件或軟件���、或其組合來(lái)實(shí)現(xiàn)���。將這些過(guò)程視為一組指定操作的框����,這些操作由一個(gè)或多個(gè)設(shè)備執(zhí)行,且不必限于所示由各個(gè)框執(zhí)行操作的順序����。還應(yīng)注意,以下示例性過(guò)程可在各種其它環(huán)境中實(shí)現(xiàn)�����,而不會(huì)偏離本發(fā)明的精神和范圍。
圖4所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程400的流程圖����,在該過(guò)程中,執(zhí)行圖1的LDAP過(guò)濾器模塊124以管理客戶機(jī)和服務(wù)器之間通過(guò)利用LDAP所進(jìn)行的通信����。執(zhí)行LDAP過(guò)濾器模塊124以監(jiān)視服務(wù)器104(m)和客戶機(jī)102(n)(框404)之間傳遞的數(shù)據(jù)402。例如�,數(shù)據(jù)402可配置成要求從客戶機(jī)102(n)到服務(wù)器104(m)的通信以執(zhí)行某LDAP動(dòng)作的請(qǐng)求。在另一例中����,數(shù)據(jù)402可配置成服務(wù)器104(m)響應(yīng)于從客戶機(jī)102發(fā)起的請(qǐng)求而執(zhí)行的LDAP動(dòng)作的結(jié)果(例如,來(lái)自執(zhí)行某LDAP操作的結(jié)果)��。
當(dāng)執(zhí)行LDAP過(guò)濾器模塊124時(shí)�,它根據(jù)一個(gè)或多個(gè)策略132(p)(框408)確定是否允許數(shù)據(jù)中指定的LDAP動(dòng)作406。例如����,LDAP過(guò)濾器模塊124可將LDAP動(dòng)作406與多個(gè)策略132(p)中的每一個(gè)進(jìn)行對(duì)比以確定是否允許從客戶102(n)發(fā)起的執(zhí)行某特定動(dòng)作的請(qǐng)求。例如,策略132(p)中的一個(gè)或多個(gè)可指定某些操作僅可由某些客戶執(zhí)行�����。因此��,LDAP過(guò)濾器模塊124可確定請(qǐng)求是否被此類客戶收到�,諸如網(wǎng)絡(luò)管理員、“受信任的”用戶等�。類似地,數(shù)據(jù)402可以是執(zhí)行LDAP動(dòng)作406的結(jié)果��。因此�,可執(zhí)行LDAP過(guò)濾器模塊124來(lái)判斷客戶102(n)是否被準(zhǔn)許接受此類結(jié)果。
可通過(guò)執(zhí)行LDAP過(guò)濾器模塊124來(lái)進(jìn)行各種其它判斷��。例如����,LDAP過(guò)濾器模塊124可通過(guò)檢查認(rèn)證操作序列和判定(例如,根據(jù)策略132(p)之一)是否已經(jīng)達(dá)到最小認(rèn)證等級(jí)���,來(lái)強(qiáng)制執(zhí)行適當(dāng)?shù)燃?jí)的認(rèn)證。例如��,如果客戶102(n)將其自身標(biāo)識(shí)為“匿名的”或使用“基本”憑證,則LDAP過(guò)濾器模塊124可因其不能獲得最小級(jí)別的所需認(rèn)證而拒絕該認(rèn)證����。在另一例中,LDAP過(guò)濾器模塊124可決定是否允許簽名的/封裝的LDAP通信����。在又一例中,LDAP過(guò)濾器模塊124可強(qiáng)制執(zhí)行LDAP規(guī)范修正�����,從而確定數(shù)據(jù)402是否遵從LDAP規(guī)范��。如果不遵從����,則可修改數(shù)據(jù)以使其遵從LDAP規(guī)范,如關(guān)于圖5和6進(jìn)一步的描述�����。在另一例中�����,LDAP過(guò)濾器模塊124可防止對(duì)LDAP目錄116(m)執(zhí)行諸如基于空值的查詢等若干已知?jiǎng)幼鳌4送?���,LDAP過(guò)濾器模塊124可同時(shí)對(duì)標(biāo)準(zhǔn)的LDAP服務(wù)器端口和全局目錄兩者起作用。例如�,全局目錄是擔(dān)當(dāng)整個(gè)域(例如,LDAP服務(wù)器組)的權(quán)威的對(duì)象存儲(chǔ)的Windows域控制器(例如�����,LDAP服務(wù)器)���。換言之�,域控制器可擔(dān)當(dāng)虛擬分層結(jié)構(gòu)存儲(chǔ)的根�。
當(dāng)指定的LDAP動(dòng)作受到允許時(shí),對(duì)LDAP動(dòng)作406的執(zhí)行受到LDAP過(guò)濾器模塊124的允許����,以使客戶機(jī)102(n)對(duì)確定一無(wú)所知(框410)。例如���,當(dāng)數(shù)據(jù)402配置成請(qǐng)求���,LDAP過(guò)濾器模塊124可轉(zhuǎn)發(fā)該請(qǐng)求以使服務(wù)器104(m)執(zhí)行指定的LDAP動(dòng)作406。在另一例中�����,當(dāng)數(shù)據(jù)402配置成結(jié)果412���,LDAP過(guò)濾器可通過(guò)網(wǎng)絡(luò)106將結(jié)果412傳送到客戶機(jī)102(n)����,而無(wú)需向客戶機(jī)102(n)通知執(zhí)行LDAP過(guò)濾器模塊124來(lái)管理通信���。因此�����,對(duì)LDAP過(guò)濾器模塊124的執(zhí)行可對(duì)客戶機(jī)102(n)和/或服務(wù)器104(m)“透明”�。
當(dāng)指定LDAP動(dòng)作406不受允許時(shí)����,執(zhí)行一個(gè)或多個(gè)對(duì)應(yīng)動(dòng)作(框414)。例如��,一當(dāng)確定LDAP動(dòng)作406不受允許時(shí)���,LDAP過(guò)濾器模塊124即可終止416客戶機(jī)102(n)和服務(wù)器104(m)的網(wǎng)絡(luò)連接���。在另一例中��,LDAP過(guò)濾器模塊124可修改數(shù)據(jù)402��,以使修改后的數(shù)據(jù)適用于完成該LDAP動(dòng)作�。例如����,LDAP過(guò)濾器模塊124可修改請(qǐng)求,以使該請(qǐng)求所指定的LDAP可被執(zhí)行�,可關(guān)于圖5找到有關(guān)于此的進(jìn)一步討論。在另一例中�����,LDAP過(guò)濾器模塊124可修改響應(yīng)���,使其包括允許發(fā)送到客戶機(jī)102(n)的數(shù)據(jù)����,可關(guān)于圖6找到有關(guān)于此的進(jìn)一步討論��。
圖5所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程500的流程圖,在該過(guò)程中����,修改LDAP過(guò)濾器模塊所截取的�����、要求執(zhí)行不受允許的LDAP動(dòng)作的請(qǐng)求��,以使該請(qǐng)求所指定的修改后的LDAP動(dòng)作受到允許����。LDAP過(guò)濾器模塊截取(框502)從客戶機(jī)到服務(wù)器的通信的請(qǐng)求。例如����,LDAP過(guò)濾器模塊可配置成布置在客戶機(jī)和服務(wù)器之間的網(wǎng)絡(luò)上的網(wǎng)絡(luò)防火墻設(shè)備。
響應(yīng)于截取���,LDAP過(guò)濾器模塊選擇多個(gè)策略中的一個(gè)(框504)��。LDAP過(guò)濾器模塊隨后將該策略應(yīng)用到請(qǐng)求中所指定的LDAP動(dòng)作上(框506)以確定是否允許LDAP動(dòng)作(判定框508)���。
如果LDAP動(dòng)作受到允許���,LDAP過(guò)濾器模塊確定是否有另一個(gè)策略可用(判定框510)。如果有���,則如前述(506)將該策略應(yīng)用到該LDAP動(dòng)作���。此過(guò)程可對(duì)每個(gè)LDAP動(dòng)作受到允許(判定框508)的策略繼續(xù),直至沒(méi)有另一個(gè)策略可用(判定框510)����。在這點(diǎn)處,可傳遞此請(qǐng)求以執(zhí)行LDAP動(dòng)作(框512)�。
如果LDAP動(dòng)作不受允許(判定框508),則修改請(qǐng)求以構(gòu)成指定修改后的LDAP動(dòng)作的修改后請(qǐng)求(框514)����。例如,請(qǐng)求可指定執(zhí)行多個(gè)LDAP操作�,其中之一是“修改”操作。但是�,該策略可指定修改操作不受允許。因此����,指定修改操作的這部分請(qǐng)求可被移除����,以使允許執(zhí)行該請(qǐng)求中所指定的其它LDAP動(dòng)作���。在另一例中��,請(qǐng)求可指定特定LDAP操作和執(zhí)行該LDAP操作的多個(gè)對(duì)象��。但是,該策略可指定不能對(duì)指定的LDAP對(duì)象中的一個(gè)執(zhí)行修改操作��。因此�,可從請(qǐng)求中移除對(duì)該特定LDAP對(duì)象的修改操作,以使修改后的操作遵從該策略�����。在另一不支持對(duì)請(qǐng)求/響應(yīng)的修改的實(shí)現(xiàn)中(諸如當(dāng)沒(méi)有通信的端對(duì)端簽名時(shí))��,LDAP過(guò)濾器模塊仍可如前述地阻塞請(qǐng)求��。
圖6所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程600的流程圖�����,在該過(guò)程中,修改LDAP過(guò)濾器模塊所截取的�、由執(zhí)行不受某個(gè)策略允許的LDAP動(dòng)作所產(chǎn)生的響應(yīng),以使修改后的響應(yīng)遵從該策略�����。首先��,從客戶機(jī)向服務(wù)器發(fā)送用戶公共加密證書(shū)的請(qǐng)求(框602)����。由此,服務(wù)器構(gòu)造包括用戶賬戶信息在內(nèi)的響應(yīng)�,該用戶賬戶信息包括公共加密證書(shū)(框604)。
當(dāng)執(zhí)行LDAP過(guò)濾器模塊����,它截取來(lái)自服務(wù)器的響應(yīng)(框606)。LDAP過(guò)濾器模塊隨即對(duì)響應(yīng)應(yīng)用一個(gè)或多個(gè)策略(框608)以確定是否允許將響應(yīng)發(fā)送到客戶機(jī)(判定框610)��。例如����,一個(gè)策略可指定用戶的信用信息只能在響應(yīng)于由特定證書(shū)簽名的對(duì)該信息的請(qǐng)求時(shí)被發(fā)送。但是,在此例中�����,發(fā)送的請(qǐng)求(框602)不包括這樣一個(gè)證書(shū)���。由此���,修改響應(yīng)以將修改后的響應(yīng)發(fā)送到客戶機(jī)根據(jù)一個(gè)或多個(gè)策略是受允許的(框612)。繼續(xù)前例�����,信用消息被從響應(yīng)剝離以構(gòu)造僅具有公共加密證書(shū)的修改后的響應(yīng)��,因此該響應(yīng)遵從該策略����。由此�����,該響應(yīng)可發(fā)送到客戶機(jī)(框614)���。盡管描述了各種修改請(qǐng)求和響應(yīng)的技術(shù)����,還可構(gòu)想各種其它技術(shù)而不會(huì)偏離本發(fā)明的精神和范圍。
圖7所示是一個(gè)示例性實(shí)現(xiàn)中的過(guò)程700的流程圖��,在該過(guò)程中����,用戶通過(guò)經(jīng)由用戶界面選擇將一個(gè)或多個(gè)屬性包括到一個(gè)策略中來(lái)經(jīng)由用戶界面設(shè)計(jì)策略。執(zhí)行圖1的LDAP過(guò)濾器模塊124以輸出配置成生成由LDAP過(guò)濾器模塊實(shí)現(xiàn)的策略的用戶界面(框702)�����。例如��,網(wǎng)絡(luò)管理員(以下簡(jiǎn)稱“管理員”)可與用戶界面交互以配置策略。
由此���,LDAP過(guò)濾器模塊可從管理員接收一個(gè)或多個(gè)輸入以選擇由策略實(shí)現(xiàn)的屬性(框704)��。例如���,管理員可根據(jù)策略指定哪些動(dòng)作可執(zhí)行�����,哪些動(dòng)作不可執(zhí)行�,諸如特定LDAP操作���、特定LDAP對(duì)象�����、LDAP操作和對(duì)象等����。響應(yīng)于這些輸入,LDAP過(guò)濾器模塊配置策略以反映所收到的輸入(框706)。所配置的策略隨即可由LDAP過(guò)濾器模塊使用��,以據(jù)此管理服務(wù)器和客戶機(jī)之間的通信(框708)���。LDAP過(guò)濾器模塊124可輸出各種用戶界面用于配置策略���,在下一節(jié)中描述這些例子。
LDAP策略配置圖8到20所示是可由圖1-7的LDAP過(guò)濾器模塊124輸出的用戶界面的示例性實(shí)現(xiàn)�����。這些用戶界面可提供各種技術(shù)�,供用戶選擇屬性以配置策略�����,諸如選擇哪些LDAP動(dòng)作是可允許的或不允許的等���。例如��,用戶界面可提供多個(gè)LDAP功能的描述�����,用戶可選擇這些功能以據(jù)此配置策略���。例如����,如圖8中所示,用戶界面可包括“認(rèn)證”頁(yè)面800�����,它描述了多個(gè)可在LDAP綁定操作期間使用的認(rèn)證機(jī)制���。用戶可用光標(biāo)控制設(shè)備(例如����,鼠標(biāo))“鉤選”對(duì)應(yīng)的框,以選擇這些認(rèn)證機(jī)制中的一個(gè)或數(shù)個(gè)�����。因此�,可基于用戶選擇了哪些認(rèn)證機(jī)制來(lái)配置對(duì)應(yīng)的策略。
圖9所示是顯示“操作”頁(yè)面900的用戶界面��。操作頁(yè)面900顯示可定義的邏輯LDAP的邏輯分組��。此外�,通過(guò)選擇“編輯”按鍵,用戶可選擇特定的LDAP操作�,如圖10的用戶界面的“選擇”頁(yè)面1000所示。選擇頁(yè)面1000還包括多個(gè)復(fù)選框���,但在此例中���,每個(gè)框用于選擇一個(gè)特定LDAP操作,這些操作在圖10中示為“綁定”(bind)��、“搜索”(search)(圖示其具有題為“允許基于NULL的查詢”(allowNULL based queries)的嵌套選擇)����、“比較”(compare)����、“修改”(modify)��、“修改DN”(modify DN)��、“添加”(add)和“刪除”(delete)�����。
用戶界面還可包括如圖11中所示的“通信”頁(yè)面1100����,用于選擇其它LDAP動(dòng)作���,諸如是否允許加密的LDAP通信通過(guò)LDAP過(guò)濾器模塊����,是否允許LDAP定位符查驗(yàn)(即��,對(duì)通信進(jìn)行“查驗(yàn)”�,諸如通過(guò)利用任意的命令由客戶機(jī)檢測(cè)LDAP服務(wù)器)��,等等�。因此�,用戶可選擇圖8-11中示出的頁(yè)面800、900�����、1000����、1100中的一個(gè)或數(shù)個(gè),以配置策略供LDAP過(guò)濾器模塊實(shí)現(xiàn)以管理通信�����。
圖12-20示出用戶界面的另一個(gè)示例性實(shí)現(xiàn)�,該用戶界面可由LDAP過(guò)濾器模塊124輸出以配置策略。圖12所示是用戶界面的“一般”頁(yè)面1200����,該頁(yè)面描述了LDAP過(guò)濾器模塊,并使得用戶能夠啟用/禁用該LDAP過(guò)濾器模塊�����。
圖13中示出用戶界面的指示頁(yè)面1300。指示可能給LDAP目錄同時(shí)帶來(lái)管理問(wèn)題和潛在的安全風(fēng)險(xiǎn)��。例如�����,指示可用于展示外部不可訪問(wèn)的服務(wù)器名�����,可允許攻擊者從內(nèi)部因特網(wǎng)協(xié)議(IP)地址或名字獲悉更多內(nèi)部目錄資源�����,等等�����。為了解決這些可能的安全風(fēng)險(xiǎn)����,指示頁(yè)面1300可提供各種選項(xiàng)��,用戶可選擇這些選項(xiàng)來(lái)控制響應(yīng)中的指示信息�����。
例如,可提供“代理”(proxy)選擇���,以使LDAP過(guò)濾設(shè)備在萬(wàn)一發(fā)生指示錯(cuò)誤時(shí)起到LDAP客戶機(jī)的功能�����,并為有關(guān)對(duì)象重新查詢正確的目錄服務(wù)器�。但是��,這可能導(dǎo)致所得響應(yīng)中有額外的應(yīng)用或指示�����。因此�����,可配置返回給外部客戶的最終響應(yīng)�����,使它不包括指示信息�����。
可提供“移除指示”(remove referrals)選擇來(lái)從響應(yīng)中移除指示,以使內(nèi)部服務(wù)器信息不被展示�����。在指示錯(cuò)誤的情形中��,可將指示發(fā)生該錯(cuò)誤的信息返回給客戶機(jī)��,而不包括其它描述性的信息��。換言之�,在一個(gè)實(shí)現(xiàn)中,返回給客戶機(jī)的信息僅描述指示錯(cuò)誤����。此外����,可從響應(yīng)中過(guò)濾掉LDAP搜索操作響應(yīng)的結(jié)果中包括的所有引用信息。在另一個(gè)實(shí)現(xiàn)中��,可不經(jīng)此類過(guò)濾即返回錯(cuò)誤����。例如���,此方法可能對(duì)通過(guò)涉及故意不允許響應(yīng)中有指示的管理員有用。
還可提供“保留指示”(keep referrals)選項(xiàng)��,以使客戶機(jī)可重新綁定和重新查詢所引用的(即��,“被引用的”)目錄服務(wù)器���。例如�,在指示對(duì)應(yīng)于外部可用的服務(wù)器的實(shí)例中此方法可能合乎需要����。
用戶界面還可提供如圖14中所示的安全套接字層(SSL)頁(yè)面1400,用于配置LDAP過(guò)濾器模塊在SSL通信上如何解決LDAP���。例如�����,SSL頁(yè)面1400可包括“隧道”(tunnel)選項(xiàng)��,以使LDAP過(guò)濾器模塊不會(huì)修改傳入和傳出的SSL通信�。
SSL頁(yè)面1400還可包括“跨接選項(xiàng)”(bridging option)。類似于web代理超文本傳輸協(xié)議安全套接字(HTTPS)支持���,LDAP過(guò)濾器模塊可展示與安全LDAP(以下簡(jiǎn)稱為“LDAPS”)通信相關(guān)聯(lián)的服務(wù)器證書(shū)���。在此情形中,LDAP過(guò)濾器模塊將是傳入的LDAP SSL通信的終點(diǎn)��。一旦經(jīng)解密�����,可對(duì)此通信進(jìn)行有效性和訪問(wèn)控制的檢查��,并隨即傳上諸如常規(guī)LDAP請(qǐng)求�����。此外�,LDAP模塊還可提供認(rèn)證客戶證書(shū)的選項(xiàng)��。
圖15所示是可由LDAP過(guò)濾器模塊124的用戶界面提供的“操作”(options)頁(yè)面1500��。例如�,當(dāng)執(zhí)行LDAP過(guò)濾器模塊�,它可對(duì)照根據(jù)此操作頁(yè)面1500配置的策略來(lái)檢查請(qǐng)求LDAP操作����。
操作頁(yè)面1500分成3個(gè)邏輯組,每一個(gè)都為每個(gè)定義的LDAP操作定義了允許/拒絕狀態(tài)��。在一個(gè)實(shí)現(xiàn)中��,管理員不能添加新組或刪除任何預(yù)先存在的組�。但是,管理員可編輯“定制”組的內(nèi)容�����。在選擇“編輯”以后可瀏覽另兩個(gè)邏輯組的內(nèi)容(示為“讀”和“讀寫(xiě)”)���,但不能對(duì)其進(jìn)行修改����,因?yàn)橛泄潭ǖ恼Z(yǔ)義�。讀組描述具有讀語(yǔ)義的LDAP操作(例如,搜索和比較)��。在一個(gè)實(shí)現(xiàn)中,讀組允許擴(kuò)展的操作�����。
圖示操作頁(yè)面1500還包括兩個(gè)多選框�����,標(biāo)為“允許LDAP v2操作”(allowLDAP v2 options)和“允許客戶發(fā)送控制”(allow clients to send controls)��。在部分實(shí)例中�����,LDAP的實(shí)現(xiàn)是依賴于版本的��。例如�����,可將系統(tǒng)配置成僅支持協(xié)議的版本2�����,而另一個(gè)實(shí)現(xiàn)可支持版本3�����。一般認(rèn)為版本2較不安全(例如���,它不支持SASL作為綁定認(rèn)證機(jī)制�,并且僅允許簡(jiǎn)單認(rèn)證)����。由此,管理員可通過(guò)使用多選框來(lái)阻塞版本2的操作��。關(guān)于“允許控制”(allow controls)選擇���,客戶可將控制作為每個(gè)命令的一部分來(lái)發(fā)送���。這些控制可擔(dān)當(dāng)cookies(例如,管理綁定狀態(tài)�����,以防其需要多重調(diào)用)或允許為特定操作擴(kuò)展服務(wù)器的實(shí)現(xiàn)����。由此�����,允許LDAP v2操作”(allow LDAP v2 options)和“允許客戶發(fā)送控制”(allow clients to send controls)使管理員能夠完全關(guān)閉控制特征����,或允許管理員定義某策略允許哪些特定控制�。
選擇圖15的操作頁(yè)面1500中所示的“編輯”(edit)按鍵引起輸出圖16的對(duì)話框1600。用于定制分組的對(duì)話框1600允許選擇(例如�����,鉤選)和解除選擇(例如�����,取消鉤選)��,對(duì)執(zhí)行對(duì)應(yīng)的LDAP操作給予或拒絕允許�。此外,可對(duì)組進(jìn)行整體啟用或禁用���。
搜索選項(xiàng)允許進(jìn)一步對(duì)有關(guān)安全的屬性進(jìn)行配置����,所示例子有“基于空值的查詢”(null-based queries)、“解除引用別名”(dereference aliases)�����、和“在查詢中僅允許基礎(chǔ)DN搜索范圍”(allow only base DN search scope in queries)�。例如��,LDAP將對(duì)象定義為別名以指向另一個(gè)對(duì)象���。但是����,這些別名在管理員錯(cuò)誤地將此類對(duì)象指向未受有效控制列表(ACL)很好保護(hù)的內(nèi)部對(duì)象的情形中可能是危險(xiǎn)的����。由此,可將此屬性配置成在搜索操作中不允許解除引用別名對(duì)象����。當(dāng)鉤選“在查詢中僅允許基礎(chǔ)DN搜索范圍”(allow only base DN search scope in queries)時(shí),它指定搜索LDAP操作不可使用通配符來(lái)訪問(wèn)指定基礎(chǔ)DN以外的對(duì)象����。例如���,這可用來(lái)保護(hù)組織的目錄信息樹(shù)(DIT)不受通配符搜索,因?yàn)檫@可能會(huì)曝露諸如用戶列表���、信用信息等敏感對(duì)象集合�����。
還可通過(guò)對(duì)話框1600來(lái)“啟用”或“禁用”擴(kuò)展操作���。例如,LDAP可允許其它操作被添加到特定LDAP實(shí)現(xiàn)中����。例如,擴(kuò)展操作可由唯一對(duì)象標(biāo)識(shí)符(OID)標(biāo)識(shí)�����。圖示對(duì)話框1600中的“擴(kuò)展操作”(extended options)為具有對(duì)應(yīng)的“選擇”(select)按鍵����,當(dāng)選中它,即引起輸出圖17的對(duì)話框1700����。此對(duì)話框1700為管理員提供根據(jù)OID手動(dòng)添加/移除操作����、經(jīng)由特定屬性選擇目錄服務(wù)器和閱讀擴(kuò)展操作列表��、及管理從服務(wù)器發(fā)到客戶機(jī)的未經(jīng)請(qǐng)求事件的能力��。
圖18所示是可作為L(zhǎng)DAP過(guò)濾器模塊124的用戶界面輸出的“認(rèn)證”頁(yè)面1800���。認(rèn)證頁(yè)面1800配置成允許管理員選擇在客戶綁定請(qǐng)求中LDAP過(guò)濾器模塊允許的認(rèn)證“等級(jí)”。例如��,如果客戶綁定請(qǐng)求不包含適當(dāng)?shù)燃?jí)的認(rèn)證���,則LDAP過(guò)濾器模塊可無(wú)需將該請(qǐng)求傳遞給LDAP服務(wù)器(即��,提供到LDAP目錄的訪問(wèn)的服務(wù)器)即將其棄置���。例如,管理員可不允許匿名請(qǐng)求(例如�����,具有NULL密碼的綁定請(qǐng)求),可不允許不先完成“綁定”操作就執(zhí)行LDAP操作���,等等��。
認(rèn)證頁(yè)面1800示出多個(gè)認(rèn)證機(jī)制供用戶選擇�����。如圖所示����,還可添加或移除認(rèn)證機(jī)制���。認(rèn)證頁(yè)面1800上所示的“選擇”(select)按鍵允許管理員選擇目錄服務(wù)器���,將從該目錄服務(wù)器枚舉所支持的SASL機(jī)制。如果枚舉導(dǎo)致未列出的新機(jī)制���,則那些授權(quán)機(jī)制可添加到認(rèn)證頁(yè)面1800供管理員選擇���。
在一個(gè)實(shí)現(xiàn)中,LDAP過(guò)濾器模塊124可在LDAP過(guò)濾設(shè)備130上執(zhí)行,以作為實(shí)際的認(rèn)證器��,由此在此意義上表現(xiàn)為L(zhǎng)DAP服務(wù)器并執(zhí)行客戶的認(rèn)證��。在此實(shí)現(xiàn)中����,定義被視為為L(zhǎng)DAP目錄訪問(wèn)而允許的一組用戶安全標(biāo)識(shí)符(SID)。LDAP過(guò)濾設(shè)備130(諸如當(dāng)配置成圖2的網(wǎng)絡(luò)防火墻設(shè)備210時(shí))可執(zhí)行認(rèn)證并將經(jīng)認(rèn)證的用戶訪問(wèn)令牌與被允許的用戶列表對(duì)比����。如果比較成功,則可傳遞該請(qǐng)求以進(jìn)行進(jìn)一步的處理���。
圖19所示是可作為L(zhǎng)DAP過(guò)濾器模塊124的用戶界面的一部分輸出的“訪問(wèn)控制”(access control)頁(yè)面1900。訪問(wèn)控制頁(yè)面1900可用于在特定上下文中和/或當(dāng)請(qǐng)求特定屬性時(shí)控制對(duì)特定DNS的訪問(wèn)�����,而無(wú)論對(duì)應(yīng)的LDAP操作是什么���。例如�����,訪問(wèn)控制頁(yè)面1900可定義簡(jiǎn)單和全局的訪問(wèn)策略(即��,與用戶組或IP無(wú)關(guān))�,該策略由LDAP訪問(wèn)規(guī)則組成。例如��,每個(gè)訪問(wèn)規(guī)則可基于以下來(lái)允許/禁止訪問(wèn)1)一基礎(chǔ)DN���;2)該規(guī)則使用的訪問(wèn)范圍(例如�����,基礎(chǔ)DN��、直接子列表�、子樹(shù)中的每個(gè)對(duì)象�、等等);以及3)所請(qǐng)求的屬性列表����。
可將各規(guī)則排序,以使“第一個(gè)匹配”勝出��。如果沒(méi)有一個(gè)規(guī)則匹配搜索操作�,則可默認(rèn)地拒絕訪問(wèn)。
可經(jīng)由圖19的訪問(wèn)策略頁(yè)面1900中所示的上下箭頭來(lái)對(duì)規(guī)則進(jìn)行重新排序。為進(jìn)一步說(shuō)明對(duì)“訪問(wèn)范圍”(access scope)字段的使用����,考慮以下各示例。在第一例中�,基礎(chǔ)DN等于“CN=users,DN=some corp��,DN=com”��。訪問(wèn)范圍設(shè)為“單級(jí)”且所請(qǐng)求的屬性列表設(shè)為類“X”的屬性“P1”�����、“P2”��。這意味著此規(guī)則適用于基本DN下具有屬性P1和P2的所有直接對(duì)象���。任何在該DN的直接對(duì)象范圍以外、或?qū)τ诓煌瑢傩缘恼?qǐng)求與該規(guī)則無(wú)關(guān)���。在第二例中�����,基礎(chǔ)DN等于“root”���。訪問(wèn)范圍設(shè)為“子樹(shù)”���,且所請(qǐng)求的屬性列表設(shè)為對(duì)“所有屬性”(及所有類)。這意味著對(duì)該目錄的任何訪問(wèn)要么總被允許要么總被拒絕�����。在搜索中允許特定屬性的情形中����,可從響應(yīng)中截去每一個(gè)其它屬性。例如���,LDAP過(guò)濾器模塊可在如前關(guān)于圖6所述將響應(yīng)返回給客戶機(jī)之前編輯響應(yīng)��。
圖19的訪問(wèn)策略頁(yè)面1900中的“編輯”(edit)按鍵一被選中�,即顯示對(duì)話框2000�,圖20中示出該對(duì)話框2000的一個(gè)例子。圖20的對(duì)話框2000使管理員能夠指定對(duì)某特定動(dòng)作應(yīng)用該規(guī)則���、指定DN名字�、設(shè)置訪問(wèn)范圍和類名、和選擇哪些屬性(如有的話)適用于該規(guī)則�。盡管已描述了示例性用戶界面,應(yīng)當(dāng)顯而易見(jiàn)的是可以各種方式配置用戶界面以提供對(duì)由LDAP過(guò)濾器模塊實(shí)現(xiàn)的策略的配置����。
結(jié)論盡管以專屬于結(jié)構(gòu)化特征和/或方法性動(dòng)作的語(yǔ)言描述了本發(fā)明,應(yīng)當(dāng)理解在所附權(quán)利要求書(shū)中定義的發(fā)明不必限于所描述的具體特征或動(dòng)作��。相反���,這些具體特征和動(dòng)作是作為實(shí)現(xiàn)要求保護(hù)的發(fā)明的示例性形式而揭示的��。
權(quán)利要求
1.一種方法�,包括監(jiān)視多個(gè)計(jì)算設(shè)備之間經(jīng)由輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信的數(shù)據(jù)����,以使每個(gè)所述計(jì)算設(shè)備對(duì)監(jiān)視一無(wú)所知;以及根據(jù)一個(gè)或多個(gè)策略�����,確定是否允許所述數(shù)據(jù)中指定的LDAP動(dòng)作�����,并且如果不受允許��,則限制所述LDAP動(dòng)作的完成�����。
2.如權(quán)利要求1所述的方法���,其特征在于���,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作指定一特定的LDAP操作。
3.如權(quán)利要求2所述的方法��,其特征在于�,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索;比較�;添加;刪除�����;修改���;重命名����;綁定;解除綁定����;以及放棄。
4.如權(quán)利要求2所述的方法��,其特征在于��,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作被配置成未經(jīng)請(qǐng)求的事件��。
5.如權(quán)利要求2所述的方法���,其特征在于���,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作包括一擴(kuò)展的LDAP操作。
6.如權(quán)利要求1所述的方法�,其特征在于,至少一個(gè)所述策略指定一不允許對(duì)一特定LDAP對(duì)象執(zhí)行的特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作��。
7.如權(quán)利要求1所述的方法�,其特征在于,所述確定包括由被配置成客戶機(jī)的至少一個(gè)所述計(jì)算設(shè)備強(qiáng)制執(zhí)行一認(rèn)證等級(jí)��。
8.如權(quán)利要求7所述的方法�����,其特征在于��,所述認(rèn)證等級(jí)是要由所述多個(gè)計(jì)算設(shè)備間通信的數(shù)據(jù)滿足的最小認(rèn)證等級(jí)����。
9.如權(quán)利要求1所述的方法,其特征在于�����,所述確定包括判定是否允許簽署的LDAP數(shù)據(jù)�����。
10.如權(quán)利要求1所述的方法�,其特征在于,所述確定包括判定所述數(shù)據(jù)是否符合輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)規(guī)范�����。
11.如權(quán)利要求1所述的方法�����,其特征在于,當(dāng)所述數(shù)據(jù)不符合所述規(guī)范時(shí)�,還包括修改所述數(shù)據(jù)使其符合所述規(guī)范。
12.如權(quán)利要求1所述的方法���,其特征在于���,所述確定包括判定所述數(shù)據(jù)是否被配置成已知攻擊。
13.如權(quán)利要求12所述的方法���,其特征在于��,所述已知攻擊是基于空值的查詢��。
14.如權(quán)利要求1所述的方法�����,其特征在于�����,執(zhí)行所述監(jiān)視以同時(shí)對(duì)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)服務(wù)器部分和全局目錄兩者起作用����。
15.如權(quán)利要求1所述的方法,其特征在于�,所述確定還包括如果根據(jù)所述一個(gè)或多個(gè)策略�,所述數(shù)據(jù)中指定的動(dòng)作是受到允許的,則允許完成所述動(dòng)作�����。
16.如權(quán)利要求1所述的方法�,其特征在于,至少一個(gè)所述計(jì)算設(shè)備是前端服務(wù)器��,而另一個(gè)所述計(jì)算設(shè)備是后端服務(wù)器��。
17.如權(quán)利要求1所述的方法���,其特征在于所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作是在所述數(shù)據(jù)中的請(qǐng)求中指定的�����,以及還包括當(dāng)所述動(dòng)作未被授權(quán)時(shí)�����,修改所述請(qǐng)求以使修改后的請(qǐng)求指定授權(quán)的LDAP動(dòng)作�。
18.如權(quán)利要求1所述的方法,其特征在于��,所述限制包括防止指定所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作的請(qǐng)求被傳送到被配置成執(zhí)行LDAP動(dòng)作的服務(wù)器���。
19.如權(quán)利要求1所述的方法���,其特征在于,所述限制包括防止所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作的結(jié)果從執(zhí)行所述LDAP動(dòng)作的服務(wù)器傳送到客戶機(jī)�。
20.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì),當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí)�����,指導(dǎo)所述計(jì)算機(jī)執(zhí)行如權(quán)利要求1所述的方法����。
21.一種方法,包括截取一客戶機(jī)和一服務(wù)器之間通信的數(shù)據(jù)����,其中����,所述數(shù)據(jù)是根據(jù)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)來(lái)配置的����;對(duì)所述請(qǐng)求應(yīng)用一個(gè)或多個(gè)策略以確定是否允許執(zhí)行所述請(qǐng)求中指定的LDAP動(dòng)作;以及當(dāng)所述執(zhí)行未被授權(quán)時(shí)�����,修改所述LDAP動(dòng)作以使執(zhí)行所述修改后的LDAP動(dòng)作受到允許��。
22.如權(quán)利要求21所述的方法��,其特征在于��,所述截取和應(yīng)用是由所述服務(wù)器執(zhí)行的��。
23.如權(quán)利要求21所述的方法�,其特征在于�����,所述客戶機(jī)對(duì)所述截取和所述應(yīng)用的執(zhí)行一無(wú)所知����。
24.如權(quán)利要求21所述的方法�����,其特征在于�����,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作指定一特定的LDAP操作�����。
25.如權(quán)利要求24所述的方法�����,其特征在于�����,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索�����;比較�;添加;刪除���;修改��;重命名���;綁定;解除綁定���;以及放棄����。
26.如權(quán)利要求21所述的方法���,其特征在于,至少一個(gè)所述策略指定一不被允許對(duì)一特定LDAP對(duì)象執(zhí)行的特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作����。
27.如權(quán)利要求21所述的方法,其特征在于�����,所述數(shù)據(jù)是請(qǐng)求,所述請(qǐng)求要求執(zhí)行所述LDAP動(dòng)作���;以及要求從所述客戶機(jī)傳送到所述服務(wù)器�����。
28.如權(quán)利要求21所述的方法��,其特征在于���,所述數(shù)據(jù)是執(zhí)行所述LDAP動(dòng)作的結(jié)果,且用于從所述服務(wù)器傳送到所述客戶機(jī)�����。
29.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)��,當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí)����,指導(dǎo)所述計(jì)算機(jī)執(zhí)行如權(quán)利要求21所述的方法。
30.一種方法����,包括執(zhí)行輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)過(guò)濾器模塊�,以便確定一響應(yīng)是否被授權(quán)以從服務(wù)器傳送到客戶機(jī)���,其中所述響應(yīng)是根據(jù)所述LDAP配置的��;以及所述確定是利用一個(gè)或多個(gè)策略來(lái)執(zhí)行的���;以及當(dāng)所述響應(yīng)被授權(quán)時(shí),傳送所述響應(yīng)以使所述客戶機(jī)對(duì)所述確定一無(wú)所知�。
31.如權(quán)利要求30所述的方法,其特征在于���,還包括當(dāng)所述響應(yīng)未被授權(quán)時(shí)�����,修改所述響應(yīng)�,以使修改后的響應(yīng)被授權(quán)����。
32.如權(quán)利要求30所述的方法��,其特征在于�,所述響應(yīng)包括一輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作的結(jié)果�。
33.如權(quán)利要求32所述的方法����,其特征在于,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作指定一特定的LDAP操作���。
34.如權(quán)利要求33所述的方法�,其特征在于�,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索;比較�;添加;刪除�;修改;重命名�;綁定;解除綁定���;以及放棄���。
35.如權(quán)利要求30所述的方法,其特征在于�,至少一個(gè)所述策略指定一個(gè)不允許對(duì)一特定LDAP對(duì)象執(zhí)行的特定輕量級(jí)目錄訪問(wèn)控制協(xié)議(LDAP)操作。
36.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����,當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí),指導(dǎo)所述計(jì)算機(jī)執(zhí)行如權(quán)利要求30所述的方法�。
37.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì),當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí)�����,指導(dǎo)所述計(jì)算機(jī)透明地管理經(jīng)由網(wǎng)絡(luò)在多個(gè)計(jì)算設(shè)備之間傳送的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信���,以使至少一個(gè)所述計(jì)算設(shè)備對(duì)所述管理一無(wú)所知��。
38.如權(quán)利要求37所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)�,其特征在于���,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信指定一特定的LDAP操作��。
39.如權(quán)利要求38所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)���,其特征在于,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索����;比較;添加�;刪除;修改���;重命名�;綁定��;解除綁定��;以及放棄����。
40.如權(quán)利要求37所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì),其特征在于��,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信量是根據(jù)多個(gè)策略進(jìn)行透明地管理的����,所述策略中的至少一個(gè)指定一不允許對(duì)一特定LDAP對(duì)象執(zhí)行的特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作。
41.一種系統(tǒng)�����,包括包含根據(jù)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)排列的數(shù)據(jù)的目錄;可執(zhí)行以構(gòu)成執(zhí)行動(dòng)作的請(qǐng)求的一個(gè)或多個(gè)應(yīng)用程序��,其中���,所述請(qǐng)求是根據(jù)所述LDAP來(lái)配置的��,以與所述目錄中的數(shù)據(jù)交互��;以及LDAP過(guò)濾器模塊�����,它可被執(zhí)行以根據(jù)定義可受允許的LDAP動(dòng)作的一個(gè)或多個(gè)策略來(lái)管理所述一個(gè)或多個(gè)應(yīng)用程序和所述目錄之間的通信量��。
42.如權(quán)利要求41所述的系統(tǒng)��,其特征在于���,可執(zhí)行所述LDAP過(guò)濾器模塊以使所述一個(gè)或多個(gè)應(yīng)用程序?qū)λ鐾ㄐ帕康墓芾硪粺o(wú)所知。
43.如權(quán)利要求41所述的系統(tǒng)�����,其特征在于����,至少一個(gè)所述策略指定是否允許執(zhí)行一特定的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作��。
44.如權(quán)利要求43所述的系統(tǒng),其特征在于�����,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索��;比較�;添加;刪除�;修改;重命名�;綁定;解除綁定���;以及放棄�����。
45.如權(quán)利要求41所述的系統(tǒng)�,其特征在于�,至少一個(gè)所述策略指定是否允許對(duì)一特定LDAP對(duì)象執(zhí)行特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作�����。
46.如權(quán)利要求41所述的系統(tǒng)���,其特征在于所述數(shù)據(jù)庫(kù)可經(jīng)由第一計(jì)算設(shè)備來(lái)獲得;所述一個(gè)或多個(gè)應(yīng)用程序可在第二計(jì)算設(shè)備上執(zhí)行�;以及所述LDAP過(guò)濾器模塊可在第三計(jì)算設(shè)備上執(zhí)行。
47.如權(quán)利要求46所述的系統(tǒng)���,其特征在于��,所述第三計(jì)算設(shè)備被配置成網(wǎng)絡(luò)防火墻設(shè)備�����。
48.一種計(jì)算設(shè)備����,包括處理器�����;以及被配置成維護(hù)以下各項(xiàng)的存儲(chǔ)器一個(gè)或多個(gè)策略��,其每一個(gè)都定義了用于執(zhí)行至少一個(gè)對(duì)應(yīng)的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作的一個(gè)或多個(gè)條件;以及可在所述處理器上執(zhí)行的一個(gè)或多個(gè)模塊���,用于根據(jù)至少一個(gè)所述策略確定請(qǐng)求是否被授權(quán)�;以及當(dāng)所述請(qǐng)求被授權(quán)時(shí)��,傳送所述請(qǐng)求以使所述客戶機(jī)對(duì)所述確定一無(wú)所知����。
49.如權(quán)利要求48所述的計(jì)算設(shè)備�,其特征在于,所述請(qǐng)求是要求從客戶機(jī)傳送到服務(wù)器���。
50.如權(quán)利要求48所述的計(jì)算設(shè)備���,其特征在于,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索���;比較��;添加��;刪除����;修改;重命名����;綁定;解除綁定�����;以及放棄�����。
51.如權(quán)利要求48所述的計(jì)算設(shè)備����,其特征在于,至少一個(gè)所述策略還指定是否允許對(duì)一特定LDAP對(duì)象執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作��。
52.如權(quán)利要求48所述的計(jì)算設(shè)備���,其特征在于��,當(dāng)所述請(qǐng)求未被授權(quán)時(shí)��,還可執(zhí)行所述一個(gè)或多個(gè)模塊以修改所述請(qǐng)求��。
53.如權(quán)利要求48所述的計(jì)算設(shè)備�,其特征在于,所述計(jì)算設(shè)備被配置成網(wǎng)絡(luò)防火墻�����。
54.如權(quán)利要求48所述的計(jì)算設(shè)備��,其特征在于����,所述計(jì)算設(shè)備被配置成輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)服務(wù)器����。
55.一種方法,包括展示一適用于從用戶接收輸入的用戶界面�����,所述輸入指定是否允許執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作���;以及基于所述輸入�,配置一個(gè)策略,用于管理網(wǎng)絡(luò)上的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信量��。
56.如權(quán)利要求55所述的方法�,其特征在于,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作指定一特定的LDAP操作��。
57.如權(quán)利要求56所述的方法����,其特征在于,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索�;比較;添加��;刪除����;修改;重命名�����;綁定���;解除綁定����;以及放棄。
58.如權(quán)利要求55所述的方法����,其特征在于,所述輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作指定一不允許對(duì)一特定LDAP對(duì)象執(zhí)行的特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作����。
59.如權(quán)利要求55所述的方法,其特征在于所述用戶界面的展示包括可由用戶選擇的多個(gè)描述���;以及一個(gè)或多個(gè)所述描述描述了可被選擇用于認(rèn)證客戶機(jī)的多個(gè)認(rèn)證機(jī)制���。
60.如權(quán)利要求55所述的方法�,其特征在于,所述用戶界面的展示包括可由用戶選擇的多個(gè)描述�;以及一個(gè)或多個(gè)所述描述描述了用戶可選擇以在輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)綁定操作期間使用的多個(gè)認(rèn)證機(jī)制。
61.如權(quán)利要求55所述的方法�,其特征在于,所述用戶界面的展示包括可由用戶選擇的多個(gè)描述�;以及一個(gè)或多個(gè)所述描述描述了可通過(guò)用戶選擇來(lái)定義的邏輯輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作組。
62.如權(quán)利要求55所述的方法����,其特征在于所述用戶界面的展示包括可由用戶選擇的多個(gè)描述��;一個(gè)所述描述可被選擇以允許加密的LDAP通信量��;以及另一個(gè)所述描述可被選擇以僅允許查驗(yàn)通過(guò)一特定LDAP端口的通信量���。
63.如權(quán)利要求55所述的方法,其特征在于所述用戶界面的展示包括可由用戶選擇的多個(gè)描述�;至少一個(gè)所述描述可被選擇以控制包括在用輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)目錄形成的響應(yīng)中的介紹信息。
64.如權(quán)利要求55所述的方法�,其特征在于所述用戶界面包括可由用戶選擇的多個(gè)描述;至少一個(gè)所述描述可被選擇以控制安全套接字層(SSL)通信��。
65.如權(quán)利要求55所述的展示���,其特征在于所述用戶界面的輸出包括可由用戶選擇的多個(gè)描述�����;以及至少一個(gè)所述描述可被選擇以控制允許哪個(gè)版本的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)��。
66.如權(quán)利要求55所述的方法�,其特征在于所述用戶界面的展示包括可由用戶選擇的多個(gè)描述;以及至少一個(gè)所述描述可被選擇以選擇所允許的多個(gè)認(rèn)證等級(jí)中的一個(gè)�����。
67.如權(quán)利要求55所述的方法�����,其特征在于所述用戶界面的展示包括可由用戶選擇的多個(gè)描述�;以及至少一個(gè)所述描述可被選擇以控制對(duì)一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)對(duì)象的訪問(wèn)。
68.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����,當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí)���,指導(dǎo)所述計(jì)算機(jī)執(zhí)行如權(quán)利要求55所述的方法�。
69.一個(gè)或多個(gè)包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)����,當(dāng)在計(jì)算機(jī)上執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令時(shí)�����,指導(dǎo)所述計(jì)算機(jī)輸出一用戶界面,用于配置管理網(wǎng)絡(luò)上的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信量的策略����,其中,當(dāng)輸出所述用戶界面時(shí)����,它被配置成使用戶能夠指示是否允許執(zhí)行一LDAP操作,并指示是否允許對(duì)一特定LDAP對(duì)象執(zhí)行一特定LDAP操作�����。
70.如權(quán)利要求69所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)�,其特征在于,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索����;比較;添加��;刪除�����;修改��;重命名;綁定�;解除綁定;以及放棄��。
71.一種系統(tǒng)����,包括一個(gè)或多個(gè)被配置成輸出用于配置策略的用戶界面的模塊,所述策略定義網(wǎng)絡(luò)上利用輕量級(jí)目錄訪問(wèn)協(xié)議可允許的通信量���;以及至少一個(gè)被配置成根據(jù)所配置的策略來(lái)管理LDAP通信量的模塊�����。
72.如權(quán)利要求71所述的系統(tǒng)�����,其特征在于�����,所述至少一個(gè)模塊可在網(wǎng)絡(luò)防火墻設(shè)備上執(zhí)行�����。
73.如權(quán)利要求71所述的系統(tǒng)����,其特征在于��,所述至少一個(gè)模塊可在輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)服務(wù)器上執(zhí)行�����。
74.如權(quán)利要求71所述的系統(tǒng)����,其特征在于,所述用戶界面被配置成允許用戶指定是否允許執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作��。
75.如權(quán)利要求71所述的系統(tǒng)��,其特征在于����,所述用戶界面被配置成允許用戶指定是否允許與一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)對(duì)象交互。
76.如權(quán)利要求71所述的系統(tǒng)�,其特征在于,所述用戶界面被配置成允許用戶指定是否允許對(duì)一特定LDAP對(duì)象執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作����。
77.一種計(jì)算設(shè)備��,包括處理器��;以及被配置成維護(hù)一個(gè)或多個(gè)模塊的存儲(chǔ)器����,所述模塊可被執(zhí)行以輸出具有多個(gè)描述的用戶界面����,所述多個(gè)描述可由用戶選擇以配置用于管理網(wǎng)絡(luò)上的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信量的策略。
78.如權(quán)利要求77所述的計(jì)算設(shè)備��,其特征在于����,至少一個(gè)所述描述可被選擇以指定是否允許執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作。
79.如權(quán)利要求78所述的計(jì)算設(shè)備���,其特征在于��,所述特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作是從包括以下各項(xiàng)的組中選出的搜索��;比較�����;添加��;刪除����;修改����;重命名;綁定���;解除綁定�;以及放棄�����。
80.如權(quán)利要求77所述的計(jì)算設(shè)備���,其特征在于���,至少一個(gè)所述描述可被選擇以控制對(duì)一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)對(duì)象的訪問(wèn)����。
81.如權(quán)利要求77所述的計(jì)算設(shè)備����,其特征在于,至少一個(gè)所述描述可被選擇以指定是否允許對(duì)一特定LDAP對(duì)象執(zhí)行一特定輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作�����。
82.如權(quán)利要求77所述的計(jì)算設(shè)備�����,其特征在于����,一個(gè)或多個(gè)所述描述描述了可被選擇用于認(rèn)證客戶機(jī)的多個(gè)認(rèn)證機(jī)制。
83.如權(quán)利要求77所述的計(jì)算設(shè)備����,其特征在于,一個(gè)或多個(gè)所述描述描述了可由用戶選擇以在輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)綁定操作期間使用的多個(gè)認(rèn)證機(jī)制�����。
84.如權(quán)利要求77所述的計(jì)算設(shè)備,其特征在于���,一個(gè)或多個(gè)所述描述描述了可通過(guò)用戶選擇來(lái)定義的邏輯輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)操作組���。
85.如權(quán)利要求77所述的計(jì)算設(shè)備,其特征在于一個(gè)所述描述可被選擇以允許加密的LDAP通信量�����;以及另一個(gè)所述描述可被選擇以僅允許查驗(yàn)通過(guò)一特定LDAP端口的通信量���。
86.如權(quán)利要求77所述的計(jì)算設(shè)備,其特征在于�����,至少一個(gè)所述描述可被選擇以控制包括在用輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)目錄形成的響應(yīng)中的介紹信息�����。
87.如權(quán)利要求77所述的計(jì)算設(shè)備����,其特征在于���,至少一個(gè)所述描述可被選擇以控制安全套接字層(SSL)通信。
88.如權(quán)利要求77所述的計(jì)算設(shè)備�����,其特征在于�,至少一個(gè)所述描述可被選擇以控制允許哪個(gè)版本的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)。
89.如權(quán)利要求77所述的計(jì)算設(shè)備����,其特征在于,至少一個(gè)所述描述可被選擇以選擇多個(gè)認(rèn)證等級(jí)中的一個(gè)����。
全文摘要
描述了輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)管理。在一個(gè)實(shí)施中��,一種方法包括為客戶機(jī)和服務(wù)器之間的通信截取根據(jù)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)配置的數(shù)據(jù)�����。對(duì)數(shù)據(jù)應(yīng)用一個(gè)或多個(gè)策略�����,以確定是否允許執(zhí)行數(shù)據(jù)中指定的某個(gè)LDAP動(dòng)作。當(dāng)沒(méi)有授權(quán)執(zhí)行時(shí)���,LDAP動(dòng)作被修改��,以使對(duì)修改后的LDAP動(dòng)作的執(zhí)行受到允許���。在一個(gè)實(shí)施中�,一種方法包括展示適用于從用戶接收輸入的用戶界面�����,該輸入指定是否允許執(zhí)行某個(gè)特定的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)動(dòng)作����?��;谠撦斎肱渲靡环N策略�����,用于管理網(wǎng)絡(luò)上的輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)通信��。
文檔編號(hào)H04L29/06GK1822590SQ20051010899
公開(kāi)日2006年8月23日 申請(qǐng)日期2005年9月28日 優(yōu)先權(quán)日2004年10月28日
發(fā)明者A·卡茨, R·蒙德里 申請(qǐng)人:微軟公司