CN1822590A - 保护轻量级目录访问协议的通信 - Google Patents
保护轻量级目录访问协议的通信 Download PDFInfo
- Publication number
- CN1822590A CN1822590A CNA200510108994XA CN200510108994A CN1822590A CN 1822590 A CN1822590 A CN 1822590A CN A200510108994X A CNA200510108994X A CN A200510108994XA CN 200510108994 A CN200510108994 A CN 200510108994A CN 1822590 A CN1822590 A CN 1822590A
- Authority
- CN
- China
- Prior art keywords
- ldap
- specific
- action
- computing equipment
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了轻量级目录访问协议(LDAP)管理。在一个实施中,一种方法包括为客户机和服务器之间的通信截取根据轻量级目录访问协议(LDAP)配置的数据。对数据应用一个或多个策略,以确定是否允许执行数据中指定的某个LDAP动作。当没有授权执行时,LDAP动作被修改,以使对修改后的LDAP动作的执行受到允许。在一个实施中,一种方法包括展示适用于从用户接收输入的用户界面,该输入指定是否允许执行某个特定的轻量级目录访问协议(LDAP)动作。基于该输入配置一种策略,用于管理网络上的轻量级目录访问协议(LDAP)通信。
Description
技术领域
本发明一般涉及数据管理的领域,尤其涉及保护轻量级目录访问协议的通信。
背景技术
轻量级目录访问协议(也可缩写为“LDAP”)是一种应用程序模块(例如,操作系统组件、独立应用程序、等等)可用来访问各种数据的因特网协议。例如,应用程序模块可以从LDAP服务器访问联系信息。LDAP服务器允许存储、搜索、显示和更新类目录的信息。例如,可将LDAP服务器配置成组织或组织单元的中央目录。此外,可将LDAP服务器用于管理用户和计算机账户身份,还可配置成在用户认证中使用。
但是,在一些实施中,LDAP服务器可能包括不受保护的数据,潜在的不可信赖的客户机可访问这些数据,因此导致可能将LDAP服务器和其上可访问的数据曝露给来自恶意方的攻击。例如,LDAP服务器可配置成在LDAP目录中包括公司的内部信息,该信息可能包括诸如用户账户信息、公司服务器位置等敏感数据。据此,位于该公司环境内部(例如,经由公司内联网)的用户可访问LDAP目录以获得诸如用户服务器管理和用户认证等所希望的数据。但是,位于此环境“外部”(例如,经由因特网)的客户机可能也需要访问此数据,诸如出于“电子商务”的目的访问用户账户。因此,即使LDAP服务器可位于公司内联网的“内部”,这些LDAP目录仍可向该公司内联网外部的客户机展示,这可能导致其被相应地向企图获取此数据的黑客攻击展示。
因此,一直以来都有对可用于保护利用轻量级目录访问协议的通信的技术的需求。
发明内容
描述了一种轻量级目录访问协议过滤器模块(LDAP过滤器模块),可执行此模块以保护根据轻量级目录访问协议配置的通信。例如,可将LDAP过滤器模块布置在根据轻量级目录访问协议组织数据的LDAP目录与请求访问LDAP目录的应用程序之间。当执行LDAP过滤器模块,它可截取和解析请求和/或对请求的响应,以强制执行一个或多个策略,从而对关于LDAP目录可执行的LDAP动作进行限制。例如,该策略可指定不执行某特定LDAP操作(例如,“修改”),不对某特定对象执行某特定LDAP操作(例如,“删除用户名”),非认证用户不得访问某特定LDAP对象(例如,“密码”),等等。因此,LDAP过滤器模块可管理LDAP目录和应用程序之间的通信。
还可提供一个用户界面,用于配置由LDAP过滤器模块实现的策略。例如,该用户界面可提供多个LDAP动作的描述。用户与用户界面交互以选择这些描述中的一个或多个,来指示要或不要执行所描述的LDAP动作。可利用此交互来据此配置可由LDAP过滤器模块实现以管理通信的策略。
附图说明
图1所示是一个示例性实施中可进行轻量级目录访问协议通信的环境。
图2所示环境是在公司内联网内部实现图1的多个客户机、多个服务器、和LDAP过滤设备,且这些客户机、服务器和LDAP过滤设备可经由因特网由多个计算设备访问。
图3所示环境是在公司内联网内部将图1的LDAP过滤设备实现为专用服务器,以向多个客户机提供LDAP目录。
图4所示是一个示例性实现中的过程的流程图,在该过程中,执行图1的LDAP过滤器模块以管理客户机和服务器之间通过网络利用LDAP所进行的通信。
图5所示是一个示例性实现中的过程的流程图,在该过程中,修改LDAP过滤器模块所截取的、要求执行不受允许的LDAP动作的请求,以使该请求所指定的修改后的LDAP动作受到允许。
图6所示是一个示例性实现中的过程的流程图,在该过程中,修改LDAP过滤器模块所截取的、由执行不受某个策略允许的LDAP动作所产生的响应,以使修改后的响应遵从该策略。
图7所示是一个示例性实现中的过程的流程图,在该过程中,用户通过经由用户界面选择将一个或多个属性包括到一个策略中来经由用户界面设计策略。
图8-10所示是可通过执行图1的LDAP过滤器模块来配置策略而输出的示例性用户界面的页面。
图11-20所示是可通过执行图1的LDAP过滤器模块来配置策略而输出的另一个示例性用户界面的页面和对话框。
在讨论中的实例中用相同的标号来指示相似的结构和组件。
具体实施方式
图1所示是一个示例性实施中可进行轻量级目录访问协议通信的环境100。图示环境100描绘了多个客户机102(n),其中“n”可为从1到“N”的任何整数。图示多个客户机102(n)为通过网络106,通信耦合到多个服务器104(m),其中“m”可为从1到“M”的任何整数。多个客户机102(n)和服务器104(m)中的每一个可以各种方式配置。例如,客户机102(n)中的一个或多个可配置成可通过网络106进行通信的计算设备,诸如台式计算机、移动电台、娱乐装置、通信耦合到显示设备的机顶盒、游戏控制台、无线电话、等等。客户机102(n)的范围可从具有实质存储器和处理器资源的完整资源设备(例如,个人计算机、游戏控制台、等等)到具有有限存储器和/或处理资源的低资源设备(例如,传统的机顶盒)。为以下讨论,客户机102(n)还可涉及操作各个客户机的个人和/或实体。换言之,客户机102(n)可描述包括用户和/或机器在内的逻辑客户机。
类似地,多个服务器104(m)也可以各种方式配置,范围从完整资源设备到低资源设备,等等。由此,术语“服务器”和“客户机”不一定表示各服务器和客户机分别提供的存储器和处理器资源的量。例如,客户机102(n)中的一个或多个可配置成包括实质处理器和存储器资源,而服务器104(m)中的一个或多个可配置成包括有限处理器和存储器资源。
图示客户机102(n)各自具有处理器108(n)和存储器110(n)。类似地,图示服务器104(m)也各自具有处理器112(m)和存储器114(m)。处理器不受构造的材料或其中所用的处理机制所限制。例如,处理器可由半导体和/或晶体管(例如,电子集成电路(IC))组成。在这样的上下文中,处理器可执行指令可为电子可执行指令。或者,处理器的机制或用于处理器的机制(并因此推广到计算设备)可包括,但不限于,量子计算、光计算、机械计算(例如,纳米技术)、等等。此外,尽管为客户机102(n)和服务器104(n)中的每一个分别示出单个存储器110(n)、114(m),存储器110(n)、114(m)可表示各种类型的存储器设备及其组合,诸如随机存取存储器(RAM)、硬盘存储器、可移动介质存储器、等等。
网络106配置成根据诸如轻量级目录访问协议(LDAP)等目录访问协议提供数据通信。LDAP是面向消息的目录访问协议,它使客户机102(n)和服务器104(m)能通过网络106彼此通信。例如,LDAP可配置成在传输控制协议/因特网协议(TCP/IP)上运行,以允许客户机102(n)与服务器104(m)上可用的LDAP目录116(m)交互。LDAP目录116(m)表示任何用LDAP可访问的目录,并因此不限于诸如某特定软件供应商所实现的一类目录类型等任何专门类型的目录。
在一个实施中,LDAP目录116(m)是根据分层(即,“树”)结构来组织的。分层结构可配置成反映各种结构,诸如公司组织图表、地理分界、等等。例如,LDAP目录116(m)可包括多个对象118(o),其中“o”可以是从1到“O”的任何整数。对象118(o)(即,条目)中的每一个都是由名字指定的一个或多个属性的集合,该名字可称为该集合的特异名字。特异名字用于无岐义地称呼对应的对象。在一个实现中,对象118(o)的每一个属性都具有一个类型及一个或多个值。类型通常经由名字或助记符描述,诸如公共名字称为“cn”,电子邮件称为“mail”,等等。值可包含对应于属性的各种数据。例如,“mail”属性可包括值“test@test.com”。
利用LDAP可执行各种动作,为以下讨论起见,将把这些动作称为“LDAP动作”。例如,LDAP功能模型支持各种LDAP操作,诸如质询操作、更新操作、及认证和控制操作。质询操作的例子包括“搜索”和“比较”。例如,搜索操作可用于定位多个对象118(o)中的某个单一对象,搜索位于LDAP目录116(m)的分层结构中的子树内的多个对象,等等。比较操作可用于比较某特定对象118(o)是否包括某特定值。
更新操作的例子包括“添加”、“删除”、“修改”和“重命名”(即,更改名字)。这些操作分别提供添加、删除、改变和重命名对象118(o)的能力。认证和控制操作的例子包括“绑定”、“解除绑定”、和“放弃”。当执行绑定操作时,它允许客户机102(n)通过交流认证信息向服务器104(m),尤其是LDAP路径116(m)标识其自身。执行解除绑定操作允许服务器104(m)弃置认证信息。放弃操作向客户机102(n)提供向服务器104(m)指示先前发送的LDAP操作不再需要执行的能力。例如,客户机102(n)可发起搜索操作以定位某特定对象118(o),然后发起放弃操作以使服务器104(m)终止该搜索操作。尽管描述了9个LDAP操作,诸其它LDAP操作也在LDAP动作的精神和范围之内,如LDAP扩展操作、LDAP控制和提供简单认证和安全层(SASL)支持的LDAP操作等。
LDAP可用于提供各种不同平台之间的通信,因此可被视为“独立于平台”。由此,本文中所描述的特征是独立于平台的,意即可在具有各种处理器的各种商业计算平台上实现战略。例如,如前所述的客户机102(n)和服务器104(m)可以各种方式配置,并用LDAP两两通信。因此,LDAP通信模块120(n)(图示为在处理器108(n)上执行并可存储在客户机102(n)的存储器110(n)中)可经由网络106与LDAP通信模块122(m)(图示为在处理器112(m)上执行并可存储在服务器104(m)上的存储器114(m)中)通信,无论对应的计算设备分别使用什么配置。LDAP通信模块120(n)、122(m)可标识任何可根据LDAP传送数据(例如,消息)的模块。例如,可在客户机102(n)可执行的应用程序内实现LDAP通信模块120(n)。
如前所述,利用LDAP的通信可用消息来执行。例如,客户机102(n)可执行LDAP通信模块120(n)以构成经由网络106到服务器104(m)的请求。服务器104(m)可通过执行LDAP通信模块122(m)以访问LDAP目录116(m)来构造一个或多个响应的方式处理请求,响应通过网络106传回客户机102(n)。例如,这些响应可包括答案(例如,电子邮件地址)或引用可找到答案的网络位置的指针。但是,先前对LDAP目录116(m)的访问是不受保护的。从而,对LDAP目录116(m)中的对象118(o)的访问也不受保护。因此,一旦客户机102(n)获得对LDAP目录116(m)的访问,客户机102(n)即可访问对象118(o)中的每一个,其中的一些对象可能包含敏感信息,诸如用户信用卡信息、家庭地址、密码、等等。
为了管理客户机102(n)和服务器104(m)之间传送的数据,并由此防止对LDAP目录116(m)中的对象118(o)的非授权的访问,环境100可使用LDAP过滤器模块124。图示LDAP过滤器模块124为在处理器126上执行并可存储在LDAP过滤设备130的存储器128中,在本例中,图示LDAP过滤设备在通信上耦合到多个客户机102(n)和多个服务器104(m)之间的网络106。当执行LDAP过滤器模块124时,它根据多个策略132(1)、……、132(p)、……、132(P)中的一个或数个管理通信,图示这些策略存储在LDAP过滤设备130的存储器128中的数据库134中。
多个策略132(1)-132(P)可以各种方式配置来描述可经由网络106所使用的LDAP执行的可允许的和不允许的动作。图1示出多个策略132(1)-132(P)中的每一个都分别引用多个LDAP动作136(1)、……、136(p)、……、136(P)中的一个。例如,图示LDAP动作136(1)为引用某特定LDAP操作138是否受允许执行。例如,策略136(1)所引用的LDAP动作136(1)可指示“修改”LDAP操作关于LDAP目录116(m)是不受允许的。因此,当LDAP过滤器模块124引用策略132(1)时,该策略可用于防止对LDAP目录116(m)执行“修改”LDAP操作。
在另一个实例中,策略132(p)可引用同时包括LDAP操作140和特定LDAP对象142两者的LDAP动作136(p)。例如,策略132(p)可限制修改特定对象118(o)(例如,“用户登录名”)并同时允许修改其它对象(例如,用户密码),而不是防止执行所有“修改”LDAP操作。策略132(P)还可描述“其它”144类型的LDAP动作136(P),诸如在客户机102(n)中的一个或多个经由因特网连接时,仅允许来自客户机102(n)的定位符查验定位出服务器104(m)中的一个或多个等。
LDAP过滤器模块124、LDAP过滤设备130、多个客户机102(n)和多个服务器104(m)可在各种不同环境中实现。例如,LDAP过滤器模块124可实现为专用LDAP服务器上的网络防火墙设备(关于图2示出此类的一个例子),等等。
一般而言,本文中所描述的任何功能可用软件、固件(例如,固定逻辑电路)、人工处理、或这些实现的组合来实现。如本文中所用的术语“模块”、“功能”和“逻辑”一般表示软件、固件、或软件与固件的结合。在软件实现的情形中,模块、功能或逻辑表示在处理器(例如,一个或多个CPU)上执行时执行指定任务的程序代码。程序代码可存储在一个或多个计算机可读存储设备中,诸如存储器110(n)、114(m)、128。如前所述,以下所述的LDAP管理战略是独立于平台的,意即可在具有各种处理器的各种商业计算平台上实现战略。
图2所示环境200是在公司内联网内部实现图1的多个客户机102(n)、多个服务器104(m)、和LDAP过滤设备130,以提供经由因特网对多个计算设备的访问。在图2的环境200中,示出“前端/后端”服务器体系结构,它可用于提供各种功能,诸如电子商务、对雇员的远程访问、等等。在此体系结构中,服务器任务分布在各前端和后端服务器202、204之间。
例如,前端服务器202可配置成通过因特网208从多个计算设备206(1)、……、206(a)、……、206(A)接受请求。图1的多个客户机102(n)在图2中配置成前端服务器202,以经由网络传送请求供多个后端服务器204中的一个或数个处理。因此,在图2的环境中,前端服务器202是后端服务器204的“客户机”。后端服务器204中的至少一个配置成图1的服务器104(m),因而包括LDAP目录116(m)。在一个实现中,LDAP目录116(m)提供客户102(n)(即,前端服务器202)请求的数据,诸如电子商务用的用户账户信息等。在另一个实现中,LDAP服务器104(m)提供描述在不同的后端服务器204上的何处定位所需数据的数据。换言之,此实现中的LDAP目录116(m)“指向”其它后端服务器204的网络地址。因此,LDAP目录116(m)可如此配置,使客户102(n)可访问LDAP目录116(m)以寻找诸如用户账户信息等所需数据的网络位置。
为了避免由于前端服务器202向多个计算设备206(1)-206(A)展示而使后端服务器204受到攻击,LDAP过滤设备130可配置成网络防火墙设备210。图示网络防火墙设备为布置在网络106上的前端和后端服务器202、204之间。网络防火墙设备210执行LDAP过滤器模块124以管理服务器202、204之间的通信,并由此限制计算设备206(1)-206(A)对后端服务器204的非授权访问。例如,LDAP过滤器模块124可提供对用LDAP传送的数据、对请求和响应认证等的过滤。
图3所示环境300是在公司内联网302内部将图1的LDAP过滤设备130实现为服务器304,以向多个客户机102(1)-102(N)提供LDAP目录134。在图2的环境200中,LDAP过滤设备103实现为“独立”网络防火墙设备。LDAP过滤器模块124的功能还可包括在多个服务器104(m)中的一个或多个之内,如图3中所示。例如,多个客户机102(1)-102(N)可执行各个LDAP通信模块120(1)-120(N)来构造定位受多个服务器104(m)实现的LDAP目录116(m)引用的数据的请求。尽管关于图1、2和3描述了示例性环境100、200、300,还可构想诸如通过将图1的LDAP过滤设备130实现为代理等各种其它示例性环境,而不会偏离本发明的精神和范围。
示例性过程
以下讨论描述可用先前所描述的系统和设备实现的管理LDAP通信的技术。这些过程中的每一个的各个方面都可用硬件、固件或软件、或其组合来实现。将这些过程视为一组指定操作的框,这些操作由一个或多个设备执行,且不必限于所示由各个框执行操作的顺序。还应注意,以下示例性过程可在各种其它环境中实现,而不会偏离本发明的精神和范围。
图4所示是一个示例性实现中的过程400的流程图,在该过程中,执行图1的LDAP过滤器模块124以管理客户机和服务器之间通过利用LDAP所进行的通信。执行LDAP过滤器模块124以监视服务器104(m)和客户机102(n)(框404)之间传递的数据402。例如,数据402可配置成要求从客户机102(n)到服务器104(m)的通信以执行某LDAP动作的请求。在另一例中,数据402可配置成服务器104(m)响应于从客户机102发起的请求而执行的LDAP动作的结果(例如,来自执行某LDAP操作的结果)。
当执行LDAP过滤器模块124时,它根据一个或多个策略132(p)(框408)确定是否允许数据中指定的LDAP动作406。例如,LDAP过滤器模块124可将LDAP动作406与多个策略132(p)中的每一个进行对比以确定是否允许从客户102(n)发起的执行某特定动作的请求。例如,策略132(p)中的一个或多个可指定某些操作仅可由某些客户执行。因此,LDAP过滤器模块124可确定请求是否被此类客户收到,诸如网络管理员、“受信任的”用户等。类似地,数据402可以是执行LDAP动作406的结果。因此,可执行LDAP过滤器模块124来判断客户102(n)是否被准许接受此类结果。
可通过执行LDAP过滤器模块124来进行各种其它判断。例如,LDAP过滤器模块124可通过检查认证操作序列和判定(例如,根据策略132(p)之一)是否已经达到最小认证等级,来强制执行适当等级的认证。例如,如果客户102(n)将其自身标识为“匿名的”或使用“基本”凭证,则LDAP过滤器模块124可因其不能获得最小级别的所需认证而拒绝该认证。在另一例中,LDAP过滤器模块124可决定是否允许签名的/封装的LDAP通信。在又一例中,LDAP过滤器模块124可强制执行LDAP规范修正,从而确定数据402是否遵从LDAP规范。如果不遵从,则可修改数据以使其遵从LDAP规范,如关于图5和6进一步的描述。在另一例中,LDAP过滤器模块124可防止对LDAP目录116(m)执行诸如基于空值的查询等若干已知动作。此外,LDAP过滤器模块124可同时对标准的LDAP服务器端口和全局目录两者起作用。例如,全局目录是担当整个域(例如,LDAP服务器组)的权威的对象存储的Windows域控制器(例如,LDAP服务器)。换言之,域控制器可担当虚拟分层结构存储的根。
当指定的LDAP动作受到允许时,对LDAP动作406的执行受到LDAP过滤器模块124的允许,以使客户机102(n)对确定一无所知(框410)。例如,当数据402配置成请求,LDAP过滤器模块124可转发该请求以使服务器104(m)执行指定的LDAP动作406。在另一例中,当数据402配置成结果412,LDAP过滤器可通过网络106将结果412传送到客户机102(n),而无需向客户机102(n)通知执行LDAP过滤器模块124来管理通信。因此,对LDAP过滤器模块124的执行可对客户机102(n)和/或服务器104(m)“透明”。
当指定LDAP动作406不受允许时,执行一个或多个对应动作(框414)。例如,一当确定LDAP动作406不受允许时,LDAP过滤器模块124即可终止416客户机102(n)和服务器104(m)的网络连接。在另一例中,LDAP过滤器模块124可修改数据402,以使修改后的数据适用于完成该LDAP动作。例如,LDAP过滤器模块124可修改请求,以使该请求所指定的LDAP可被执行,可关于图5找到有关于此的进一步讨论。在另一例中,LDAP过滤器模块124可修改响应,使其包括允许发送到客户机102(n)的数据,可关于图6找到有关于此的进一步讨论。
图5所示是一个示例性实现中的过程500的流程图,在该过程中,修改LDAP过滤器模块所截取的、要求执行不受允许的LDAP动作的请求,以使该请求所指定的修改后的LDAP动作受到允许。LDAP过滤器模块截取(框502)从客户机到服务器的通信的请求。例如,LDAP过滤器模块可配置成布置在客户机和服务器之间的网络上的网络防火墙设备。
响应于截取,LDAP过滤器模块选择多个策略中的一个(框504)。LDAP过滤器模块随后将该策略应用到请求中所指定的LDAP动作上(框506)以确定是否允许LDAP动作(判定框508)。
如果LDAP动作受到允许,LDAP过滤器模块确定是否有另一个策略可用(判定框510)。如果有,则如前述(506)将该策略应用到该LDAP动作。此过程可对每个LDAP动作受到允许(判定框508)的策略继续,直至没有另一个策略可用(判定框510)。在这点处,可传递此请求以执行LDAP动作(框512)。
如果LDAP动作不受允许(判定框508),则修改请求以构成指定修改后的LDAP动作的修改后请求(框514)。例如,请求可指定执行多个LDAP操作,其中之一是“修改”操作。但是,该策略可指定修改操作不受允许。因此,指定修改操作的这部分请求可被移除,以使允许执行该请求中所指定的其它LDAP动作。在另一例中,请求可指定特定LDAP操作和执行该LDAP操作的多个对象。但是,该策略可指定不能对指定的LDAP对象中的一个执行修改操作。因此,可从请求中移除对该特定LDAP对象的修改操作,以使修改后的操作遵从该策略。在另一不支持对请求/响应的修改的实现中(诸如当没有通信的端对端签名时),LDAP过滤器模块仍可如前述地阻塞请求。
图6所示是一个示例性实现中的过程600的流程图,在该过程中,修改LDAP过滤器模块所截取的、由执行不受某个策略允许的LDAP动作所产生的响应,以使修改后的响应遵从该策略。首先,从客户机向服务器发送用户公共加密证书的请求(框602)。由此,服务器构造包括用户账户信息在内的响应,该用户账户信息包括公共加密证书(框604)。
当执行LDAP过滤器模块,它截取来自服务器的响应(框606)。LDAP过滤器模块随即对响应应用一个或多个策略(框608)以确定是否允许将响应发送到客户机(判定框610)。例如,一个策略可指定用户的信用信息只能在响应于由特定证书签名的对该信息的请求时被发送。但是,在此例中,发送的请求(框602)不包括这样一个证书。由此,修改响应以将修改后的响应发送到客户机根据一个或多个策略是受允许的(框612)。继续前例,信用消息被从响应剥离以构造仅具有公共加密证书的修改后的响应,因此该响应遵从该策略。由此,该响应可发送到客户机(框614)。尽管描述了各种修改请求和响应的技术,还可构想各种其它技术而不会偏离本发明的精神和范围。
图7所示是一个示例性实现中的过程700的流程图,在该过程中,用户通过经由用户界面选择将一个或多个属性包括到一个策略中来经由用户界面设计策略。执行图1的LDAP过滤器模块124以输出配置成生成由LDAP过滤器模块实现的策略的用户界面(框702)。例如,网络管理员(以下简称“管理员”)可与用户界面交互以配置策略。
由此,LDAP过滤器模块可从管理员接收一个或多个输入以选择由策略实现的属性(框704)。例如,管理员可根据策略指定哪些动作可执行,哪些动作不可执行,诸如特定LDAP操作、特定LDAP对象、LDAP操作和对象等。响应于这些输入,LDAP过滤器模块配置策略以反映所收到的输入(框706)。所配置的策略随即可由LDAP过滤器模块使用,以据此管理服务器和客户机之间的通信(框708)。LDAP过滤器模块124可输出各种用户界面用于配置策略,在下一节中描述这些例子。
LDAP策略配置
图8到20所示是可由图1-7的LDAP过滤器模块124输出的用户界面的示例性实现。这些用户界面可提供各种技术,供用户选择属性以配置策略,诸如选择哪些LDAP动作是可允许的或不允许的等。例如,用户界面可提供多个LDAP功能的描述,用户可选择这些功能以据此配置策略。例如,如图8中所示,用户界面可包括“认证”页面800,它描述了多个可在LDAP绑定操作期间使用的认证机制。用户可用光标控制设备(例如,鼠标)“钩选”对应的框,以选择这些认证机制中的一个或数个。因此,可基于用户选择了哪些认证机制来配置对应的策略。
图9所示是显示“操作”页面900的用户界面。操作页面900显示可定义的逻辑LDAP的逻辑分组。此外,通过选择“编辑”按键,用户可选择特定的LDAP操作,如图10的用户界面的“选择”页面1000所示。选择页面1000还包括多个复选框,但在此例中,每个框用于选择一个特定LDAP操作,这些操作在图10中示为“绑定”(bind)、“搜索”(search)(图示其具有题为“允许基于NULL的查询”(allowNULL based queries)的嵌套选择)、“比较”(compare)、“修改”(modify)、“修改DN”(modify DN)、“添加”(add)和“删除”(delete)。
用户界面还可包括如图11中所示的“通信”页面1100,用于选择其它LDAP动作,诸如是否允许加密的LDAP通信通过LDAP过滤器模块,是否允许LDAP定位符查验(即,对通信进行“查验”,诸如通过利用任意的命令由客户机检测LDAP服务器),等等。因此,用户可选择图8-11中示出的页面800、900、1000、1100中的一个或数个,以配置策略供LDAP过滤器模块实现以管理通信。
图12-20示出用户界面的另一个示例性实现,该用户界面可由LDAP过滤器模块124输出以配置策略。图12所示是用户界面的“一般”页面1200,该页面描述了LDAP过滤器模块,并使得用户能够启用/禁用该LDAP过滤器模块。
图13中示出用户界面的指示页面1300。指示可能给LDAP目录同时带来管理问题和潜在的安全风险。例如,指示可用于展示外部不可访问的服务器名,可允许攻击者从内部因特网协议(IP)地址或名字获悉更多内部目录资源,等等。为了解决这些可能的安全风险,指示页面1300可提供各种选项,用户可选择这些选项来控制响应中的指示信息。
例如,可提供“代理”(proxy)选择,以使LDAP过滤设备在万一发生指示错误时起到LDAP客户机的功能,并为有关对象重新查询正确的目录服务器。但是,这可能导致所得响应中有额外的应用或指示。因此,可配置返回给外部客户的最终响应,使它不包括指示信息。
可提供“移除指示”(remove referrals)选择来从响应中移除指示,以使内部服务器信息不被展示。在指示错误的情形中,可将指示发生该错误的信息返回给客户机,而不包括其它描述性的信息。换言之,在一个实现中,返回给客户机的信息仅描述指示错误。此外,可从响应中过滤掉LDAP搜索操作响应的结果中包括的所有引用信息。在另一个实现中,可不经此类过滤即返回错误。例如,此方法可能对通过涉及故意不允许响应中有指示的管理员有用。
还可提供“保留指示”(keep referrals)选项,以使客户机可重新绑定和重新查询所引用的(即,“被引用的”)目录服务器。例如,在指示对应于外部可用的服务器的实例中此方法可能合乎需要。
用户界面还可提供如图14中所示的安全套接字层(SSL)页面1400,用于配置LDAP过滤器模块在SSL通信上如何解决LDAP。例如,SSL页面1400可包括“隧道”(tunnel)选项,以使LDAP过滤器模块不会修改传入和传出的SSL通信。
SSL页面1400还可包括“跨接选项”(bridging option)。类似于web代理超文本传输协议安全套接字(HTTPS)支持,LDAP过滤器模块可展示与安全LDAP(以下简称为“LDAPS”)通信相关联的服务器证书。在此情形中,LDAP过滤器模块将是传入的LDAP SSL通信的终点。一旦经解密,可对此通信进行有效性和访问控制的检查,并随即传上诸如常规LDAP请求。此外,LDAP模块还可提供认证客户证书的选项。
图15所示是可由LDAP过滤器模块124的用户界面提供的“操作”(options)页面1500。例如,当执行LDAP过滤器模块,它可对照根据此操作页面1500配置的策略来检查请求LDAP操作。
操作页面1500分成3个逻辑组,每一个都为每个定义的LDAP操作定义了允许/拒绝状态。在一个实现中,管理员不能添加新组或删除任何预先存在的组。但是,管理员可编辑“定制”组的内容。在选择“编辑”以后可浏览另两个逻辑组的内容(示为“读”和“读写”),但不能对其进行修改,因为有固定的语义。读组描述具有读语义的LDAP操作(例如,搜索和比较)。在一个实现中,读组允许扩展的操作。
图示操作页面1500还包括两个多选框,标为“允许LDAP v2操作”(allowLDAP v2 options)和“允许客户发送控制”(allow clients to send controls)。在部分实例中,LDAP的实现是依赖于版本的。例如,可将系统配置成仅支持协议的版本2,而另一个实现可支持版本3。一般认为版本2较不安全(例如,它不支持SASL作为绑定认证机制,并且仅允许简单认证)。由此,管理员可通过使用多选框来阻塞版本2的操作。关于“允许控制”(allow controls)选择,客户可将控制作为每个命令的一部分来发送。这些控制可担当cookies(例如,管理绑定状态,以防其需要多重调用)或允许为特定操作扩展服务器的实现。由此,允许LDAP v2操作”(allow LDAP v2 options)和“允许客户发送控制”(allow clients to send controls)使管理员能够完全关闭控制特征,或允许管理员定义某策略允许哪些特定控制。
选择图15的操作页面1500中所示的“编辑”(edit)按键引起输出图16的对话框1600。用于定制分组的对话框1600允许选择(例如,钩选)和解除选择(例如,取消钩选),对执行对应的LDAP操作给予或拒绝允许。此外,可对组进行整体启用或禁用。
搜索选项允许进一步对有关安全的属性进行配置,所示例子有“基于空值的查询”(null-based queries)、“解除引用别名”(dereference aliases)、和“在查询中仅允许基础DN搜索范围”(allow only base DN search scope in queries)。例如,LDAP将对象定义为别名以指向另一个对象。但是,这些别名在管理员错误地将此类对象指向未受有效控制列表(ACL)很好保护的内部对象的情形中可能是危险的。由此,可将此属性配置成在搜索操作中不允许解除引用别名对象。当钩选“在查询中仅允许基础DN搜索范围”(allow only base DN search scope in queries)时,它指定搜索LDAP操作不可使用通配符来访问指定基础DN以外的对象。例如,这可用来保护组织的目录信息树(DIT)不受通配符搜索,因为这可能会曝露诸如用户列表、信用信息等敏感对象集合。
还可通过对话框1600来“启用”或“禁用”扩展操作。例如,LDAP可允许其它操作被添加到特定LDAP实现中。例如,扩展操作可由唯一对象标识符(OID)标识。图示对话框1600中的“扩展操作”(extended options)为具有对应的“选择”(select)按键,当选中它,即引起输出图17的对话框1700。此对话框1700为管理员提供根据OID手动添加/移除操作、经由特定属性选择目录服务器和阅读扩展操作列表、及管理从服务器发到客户机的未经请求事件的能力。
图18所示是可作为LDAP过滤器模块124的用户界面输出的“认证”页面1800。认证页面1800配置成允许管理员选择在客户绑定请求中LDAP过滤器模块允许的认证“等级”。例如,如果客户绑定请求不包含适当等级的认证,则LDAP过滤器模块可无需将该请求传递给LDAP服务器(即,提供到LDAP目录的访问的服务器)即将其弃置。例如,管理员可不允许匿名请求(例如,具有NULL密码的绑定请求),可不允许不先完成“绑定”操作就执行LDAP操作,等等。
认证页面1800示出多个认证机制供用户选择。如图所示,还可添加或移除认证机制。认证页面1800上所示的“选择”(select)按键允许管理员选择目录服务器,将从该目录服务器枚举所支持的SASL机制。如果枚举导致未列出的新机制,则那些授权机制可添加到认证页面1800供管理员选择。
在一个实现中,LDAP过滤器模块124可在LDAP过滤设备130上执行,以作为实际的认证器,由此在此意义上表现为LDAP服务器并执行客户的认证。在此实现中,定义被视为为LDAP目录访问而允许的一组用户安全标识符(SID)。LDAP过滤设备130(诸如当配置成图2的网络防火墙设备210时)可执行认证并将经认证的用户访问令牌与被允许的用户列表对比。如果比较成功,则可传递该请求以进行进一步的处理。
图19所示是可作为LDAP过滤器模块124的用户界面的一部分输出的“访问控制”(access control)页面1900。访问控制页面1900可用于在特定上下文中和/或当请求特定属性时控制对特定DNS的访问,而无论对应的LDAP操作是什么。例如,访问控制页面1900可定义简单和全局的访问策略(即,与用户组或IP无关),该策略由LDAP访问规则组成。例如,每个访问规则可基于以下来允许/禁止访问:
1)一基础DN;
2)该规则使用的访问范围(例如,基础DN、直接子列表、子树中的每个对象、等等);以及
3)所请求的属性列表。
可将各规则排序,以使“第一个匹配”胜出。如果没有一个规则匹配搜索操作,则可默认地拒绝访问。
可经由图19的访问策略页面1900中所示的上下箭头来对规则进行重新排序。为进一步说明对“访问范围”(access scope)字段的使用,考虑以下各示例。在第一例中,基础DN等于“CN=users,DN=some corp,DN=com”。访问范围设为“单级”且所请求的属性列表设为类“X”的属性“P1”、“P2”。这意味着此规则适用于基本DN下具有属性P1和P2的所有直接对象。任何在该DN的直接对象范围以外、或对于不同属性的请求与该规则无关。在第二例中,基础DN等于“root”。访问范围设为“子树”,且所请求的属性列表设为对“所有属性”(及所有类)。这意味着对该目录的任何访问要么总被允许要么总被拒绝。在搜索中允许特定属性的情形中,可从响应中截去每一个其它属性。例如,LDAP过滤器模块可在如前关于图6所述将响应返回给客户机之前编辑响应。
图19的访问策略页面1900中的“编辑”(edit)按键一被选中,即显示对话框2000,图20中示出该对话框2000的一个例子。图20的对话框2000使管理员能够指定对某特定动作应用该规则、指定DN名字、设置访问范围和类名、和选择哪些属性(如有的话)适用于该规则。尽管已描述了示例性用户界面,应当显而易见的是可以各种方式配置用户界面以提供对由LDAP过滤器模块实现的策略的配置。
结论
尽管以专属于结构化特征和/或方法性动作的语言描述了本发明,应当理解在所附权利要求书中定义的发明不必限于所描述的具体特征或动作。相反,这些具体特征和动作是作为实现要求保护的发明的示例性形式而揭示的。
Claims (89)
1.一种方法,包括:
监视多个计算设备之间经由轻量级目录访问协议(LDAP)通信的数据,以使每个所述计算设备对监视一无所知;以及
根据一个或多个策略,确定是否允许所述数据中指定的LDAP动作,并且如果不受允许,则限制所述LDAP动作的完成。
2.如权利要求1所述的方法,其特征在于,所述轻量级目录访问协议(LDAP)动作指定一特定的LDAP操作。
3.如权利要求2所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
4.如权利要求2所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作被配置成未经请求的事件。
5.如权利要求2所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作包括一扩展的LDAP操作。
6.如权利要求1所述的方法,其特征在于,至少一个所述策略指定一不允许对一特定LDAP对象执行的特定轻量级目录访问协议(LDAP)操作。
7.如权利要求1所述的方法,其特征在于,所述确定包括由被配置成客户机的至少一个所述计算设备强制执行一认证等级。
8.如权利要求7所述的方法,其特征在于,所述认证等级是要由所述多个计算设备间通信的数据满足的最小认证等级。
9.如权利要求1所述的方法,其特征在于,所述确定包括判定是否允许签署的LDAP数据。
10.如权利要求1所述的方法,其特征在于,所述确定包括判定所述数据是否符合轻量级目录访问协议(LDAP)规范。
11.如权利要求1所述的方法,其特征在于,当所述数据不符合所述规范时,还包括修改所述数据使其符合所述规范。
12.如权利要求1所述的方法,其特征在于,所述确定包括判定所述数据是否被配置成已知攻击。
13.如权利要求12所述的方法,其特征在于,所述已知攻击是基于空值的查询。
14.如权利要求1所述的方法,其特征在于,执行所述监视以同时对轻量级目录访问协议(LDAP)服务器部分和全局目录两者起作用。
15.如权利要求1所述的方法,其特征在于,所述确定还包括如果根据所述一个或多个策略,所述数据中指定的动作是受到允许的,则允许完成所述动作。
16.如权利要求1所述的方法,其特征在于,至少一个所述计算设备是前端服务器,而另一个所述计算设备是后端服务器。
17.如权利要求1所述的方法,其特征在于:
所述轻量级目录访问协议(LDAP)动作是在所述数据中的请求中指定的,以及
还包括当所述动作未被授权时,修改所述请求以使修改后的请求指定授权的LDAP动作。
18.如权利要求1所述的方法,其特征在于,所述限制包括防止指定所述轻量级目录访问协议(LDAP)动作的请求被传送到被配置成执行LDAP动作的服务器。
19.如权利要求1所述的方法,其特征在于,所述限制包括防止所述轻量级目录访问协议(LDAP)动作的结果从执行所述LDAP动作的服务器传送到客户机。
20.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机执行如权利要求1所述的方法。
21.一种方法,包括:
截取一客户机和一服务器之间通信的数据,其中,所述数据是根据轻量级目录访问协议(LDAP)来配置的;
对所述请求应用一个或多个策略以确定是否允许执行所述请求中指定的LDAP动作;以及
当所述执行未被授权时,修改所述LDAP动作以使执行所述修改后的LDAP动作受到允许。
22.如权利要求21所述的方法,其特征在于,所述截取和应用是由所述服务器执行的。
23.如权利要求21所述的方法,其特征在于,所述客户机对所述截取和所述应用的执行一无所知。
24.如权利要求21所述的方法,其特征在于,所述轻量级目录访问协议(LDAP)动作指定一特定的LDAP操作。
25.如权利要求24所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
26.如权利要求21所述的方法,其特征在于,至少一个所述策略指定一不被允许对一特定LDAP对象执行的特定轻量级目录访问协议(LDAP)操作。
27.如权利要求21所述的方法,其特征在于,所述数据是请求,所述请求:
要求执行所述LDAP动作;以及
要求从所述客户机传送到所述服务器。
28.如权利要求21所述的方法,其特征在于,所述数据是执行所述LDAP动作的结果,且用于从所述服务器传送到所述客户机。
29.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机执行如权利要求21所述的方法。
30.一种方法,包括执行轻量级目录访问协议(LDAP)过滤器模块,以便:
确定一响应是否被授权以从服务器传送到客户机,其中:
所述响应是根据所述LDAP配置的;以及
所述确定是利用一个或多个策略来执行的;以及
当所述响应被授权时,传送所述响应以使所述客户机对所述确定一无所知。
31.如权利要求30所述的方法,其特征在于,还包括当所述响应未被授权时,修改所述响应,以使修改后的响应被授权。
32.如权利要求30所述的方法,其特征在于,所述响应包括一轻量级目录访问协议(LDAP)动作的结果。
33.如权利要求32所述的方法,其特征在于,所述轻量级目录访问协议(LDAP)动作指定一特定的LDAP操作。
34.如权利要求33所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
35.如权利要求30所述的方法,其特征在于,至少一个所述策略指定一个不允许对一特定LDAP对象执行的特定轻量级目录访问控制协议(LDAP)操作。
36.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机执行如权利要求30所述的方法。
37.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机透明地管理经由网络在多个计算设备之间传送的轻量级目录访问协议(LDAP)通信,以使至少一个所述计算设备对所述管理一无所知。
38.如权利要求37所述的一个或多个计算机可读介质,其特征在于,所述轻量级目录访问协议(LDAP)通信指定一特定的LDAP操作。
39.如权利要求38所述的一个或多个计算机可读介质,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
40.如权利要求37所述的一个或多个计算机可读介质,其特征在于,所述轻量级目录访问协议(LDAP)通信量是根据多个策略进行透明地管理的,所述策略中的至少一个指定一不允许对一特定LDAP对象执行的特定轻量级目录访问协议(LDAP)操作。
41.一种系统,包括:
包含根据轻量级目录访问协议(LDAP)排列的数据的目录;
可执行以构成执行动作的请求的一个或多个应用程序,其中,所述请求是根据所述LDAP来配置的,以与所述目录中的数据交互;以及
LDAP过滤器模块,它可被执行以根据定义可受允许的LDAP动作的一个或多个策略来管理所述一个或多个应用程序和所述目录之间的通信量。
42.如权利要求41所述的系统,其特征在于,可执行所述LDAP过滤器模块以使所述一个或多个应用程序对所述通信量的管理一无所知。
43.如权利要求41所述的系统,其特征在于,至少一个所述策略指定是否允许执行一特定的轻量级目录访问协议(LDAP)操作。
44.如权利要求43所述的系统,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
45.如权利要求41所述的系统,其特征在于,至少一个所述策略指定是否允许对一特定LDAP对象执行特定轻量级目录访问协议(LDAP)操作。
46.如权利要求41所述的系统,其特征在于:
所述数据库可经由第一计算设备来获得;
所述一个或多个应用程序可在第二计算设备上执行;以及
所述LDAP过滤器模块可在第三计算设备上执行。
47.如权利要求46所述的系统,其特征在于,所述第三计算设备被配置成网络防火墙设备。
48.一种计算设备,包括:
处理器;以及
被配置成维护以下各项的存储器:
一个或多个策略,其每一个都定义了用于执行至少一个对应的轻量级目录访问协议(LDAP)操作的一个或多个条件;以及
可在所述处理器上执行的一个或多个模块,用于:
根据至少一个所述策略确定请求是否被授权;以及
当所述请求被授权时,传送所述请求以使所述客户机对所述确定一无所知。
49.如权利要求48所述的计算设备,其特征在于,所述请求是要求从客户机传送到服务器。
50.如权利要求48所述的计算设备,其特征在于,所述轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
51.如权利要求48所述的计算设备,其特征在于,至少一个所述策略还指定是否允许对一特定LDAP对象执行一特定轻量级目录访问协议(LDAP)操作。
52.如权利要求48所述的计算设备,其特征在于,当所述请求未被授权时,还可执行所述一个或多个模块以修改所述请求。
53.如权利要求48所述的计算设备,其特征在于,所述计算设备被配置成网络防火墙。
54.如权利要求48所述的计算设备,其特征在于,所述计算设备被配置成轻量级目录访问协议(LDAP)服务器。
55.一种方法,包括:
展示一适用于从用户接收输入的用户界面,所述输入指定是否允许执行一特定轻量级目录访问协议(LDAP)动作;以及
基于所述输入,配置一个策略,用于管理网络上的轻量级目录访问协议(LDAP)通信量。
56.如权利要求55所述的方法,其特征在于,所述轻量级目录访问协议(LDAP)动作指定一特定的LDAP操作。
57.如权利要求56所述的方法,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
58.如权利要求55所述的方法,其特征在于,所述轻量级目录访问协议(LDAP)动作指定一不允许对一特定LDAP对象执行的特定轻量级目录访问协议(LDAP)操作。
59.如权利要求55所述的方法,其特征在于:
所述用户界面的展示包括可由用户选择的多个描述;以及
一个或多个所述描述描述了可被选择用于认证客户机的多个认证机制。
60.如权利要求55所述的方法,其特征在于,
所述用户界面的展示包括可由用户选择的多个描述;以及
一个或多个所述描述描述了用户可选择以在轻量级目录访问协议(LDAP)绑定操作期间使用的多个认证机制。
61.如权利要求55所述的方法,其特征在于,
所述用户界面的展示包括可由用户选择的多个描述;以及
一个或多个所述描述描述了可通过用户选择来定义的逻辑轻量级目录访问协议(LDAP)操作组。
62.如权利要求55所述的方法,其特征在于:
所述用户界面的展示包括可由用户选择的多个描述;
一个所述描述可被选择以允许加密的LDAP通信量;以及
另一个所述描述可被选择以仅允许查验通过一特定LDAP端口的通信量。
63.如权利要求55所述的方法,其特征在于:
所述用户界面的展示包括可由用户选择的多个描述;
至少一个所述描述可被选择以控制包括在用轻量级目录访问协议(LDAP)目录形成的响应中的介绍信息。
64.如权利要求55所述的方法,其特征在于:
所述用户界面包括可由用户选择的多个描述;
至少一个所述描述可被选择以控制安全套接字层(SSL)通信。
65.如权利要求55所述的展示,其特征在于:
所述用户界面的输出包括可由用户选择的多个描述;以及
至少一个所述描述可被选择以控制允许哪个版本的轻量级目录访问协议(LDAP)。
66.如权利要求55所述的方法,其特征在于:
所述用户界面的展示包括可由用户选择的多个描述;以及
至少一个所述描述可被选择以选择所允许的多个认证等级中的一个。
67.如权利要求55所述的方法,其特征在于:
所述用户界面的展示包括可由用户选择的多个描述;以及
至少一个所述描述可被选择以控制对一特定轻量级目录访问协议(LDAP)对象的访问。
68.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机执行如权利要求55所述的方法。
69.一个或多个包括计算机可执行指令的计算机可读介质,当在计算机上执行所述计算机可执行指令时,指导所述计算机输出一用户界面,用于配置管理网络上的轻量级目录访问协议(LDAP)通信量的策略,其中,当输出所述用户界面时,它被配置成使用户能够指示是否允许执行一LDAP操作,并指示是否允许对一特定LDAP对象执行一特定LDAP操作。
70.如权利要求69所述的一个或多个计算机可读介质,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
71.一种系统,包括:
一个或多个被配置成输出用于配置策略的用户界面的模块,所述策略定义网络上利用轻量级目录访问协议可允许的通信量;以及
至少一个被配置成根据所配置的策略来管理LDAP通信量的模块。
72.如权利要求71所述的系统,其特征在于,所述至少一个模块可在网络防火墙设备上执行。
73.如权利要求71所述的系统,其特征在于,所述至少一个模块可在轻量级目录访问协议(LDAP)服务器上执行。
74.如权利要求71所述的系统,其特征在于,所述用户界面被配置成允许用户指定是否允许执行一特定轻量级目录访问协议(LDAP)操作。
75.如权利要求71所述的系统,其特征在于,所述用户界面被配置成允许用户指定是否允许与一特定轻量级目录访问协议(LDAP)对象交互。
76.如权利要求71所述的系统,其特征在于,所述用户界面被配置成允许用户指定是否允许对一特定LDAP对象执行一特定轻量级目录访问协议(LDAP)操作。
77.一种计算设备,包括:
处理器;以及
被配置成维护一个或多个模块的存储器,所述模块可被执行以输出具有多个描述的用户界面,所述多个描述可由用户选择以配置用于管理网络上的轻量级目录访问协议(LDAP)通信量的策略。
78.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以指定是否允许执行一特定轻量级目录访问协议(LDAP)操作。
79.如权利要求78所述的计算设备,其特征在于,所述特定轻量级目录访问协议(LDAP)操作是从包括以下各项的组中选出的:
搜索;
比较;
添加;
删除;
修改;
重命名;
绑定;
解除绑定;以及
放弃。
80.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以控制对一特定轻量级目录访问协议(LDAP)对象的访问。
81.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以指定是否允许对一特定LDAP对象执行一特定轻量级目录访问协议(LDAP)操作。
82.如权利要求77所述的计算设备,其特征在于,一个或多个所述描述描述了可被选择用于认证客户机的多个认证机制。
83.如权利要求77所述的计算设备,其特征在于,一个或多个所述描述描述了可由用户选择以在轻量级目录访问协议(LDAP)绑定操作期间使用的多个认证机制。
84.如权利要求77所述的计算设备,其特征在于,一个或多个所述描述描述了可通过用户选择来定义的逻辑轻量级目录访问协议(LDAP)操作组。
85.如权利要求77所述的计算设备,其特征在于:
一个所述描述可被选择以允许加密的LDAP通信量;以及
另一个所述描述可被选择以仅允许查验通过一特定LDAP端口的通信量。
86.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以控制包括在用轻量级目录访问协议(LDAP)目录形成的响应中的介绍信息。
87.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以控制安全套接字层(SSL)通信。
88.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以控制允许哪个版本的轻量级目录访问协议(LDAP)。
89.如权利要求77所述的计算设备,其特征在于,至少一个所述描述可被选择以选择多个认证等级中的一个。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/975,292 US20060092948A1 (en) | 2004-10-28 | 2004-10-28 | Securing lightweight directory access protocol traffic |
US10/975,292 | 2004-10-28 | ||
US10/997,433 | 2004-11-24 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1822590A true CN1822590A (zh) | 2006-08-23 |
Family
ID=36261780
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200510108994XA Pending CN1822590A (zh) | 2004-10-28 | 2005-09-28 | 保护轻量级目录访问协议的通信 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20060092948A1 (zh) |
CN (1) | CN1822590A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243552A (zh) * | 2014-08-19 | 2014-12-24 | 天津南大通用数据技术股份有限公司 | 基于ldapv3协议的快速统计目录子树条目数的方法 |
CN104410495A (zh) * | 2014-11-19 | 2015-03-11 | 天津南大通用数据技术股份有限公司 | 基于ldapv3控制操作的目录认证实现方法 |
CN110012031A (zh) * | 2019-04-26 | 2019-07-12 | 中国电子科技集团公司第二十九研究所 | 数据报文通用自动解析方法和存储方法 |
CN111355607A (zh) * | 2020-02-17 | 2020-06-30 | 苏州亿歌网络科技有限公司 | 基于ldap的域管理方法、系统、装置、设备及存储介质 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4658617B2 (ja) * | 2005-01-07 | 2011-03-23 | 株式会社リコー | 通信装置、通信方法、プログラム及び記録媒体 |
GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
US7996674B2 (en) * | 2006-10-19 | 2011-08-09 | International Business Machines Corporation | LDAP user authentication |
US8122497B2 (en) * | 2007-09-10 | 2012-02-21 | Redcloud, Inc. | Networked physical security access control system and method |
US8045486B2 (en) * | 2008-05-15 | 2011-10-25 | Solarwinds Worldwide, Llc | Discovery and visualization of active directory domain controllers in topological network maps |
US11386202B2 (en) * | 2012-11-08 | 2022-07-12 | Proofpoint, Inc. | Apparatus and method for social account access control |
US9240990B1 (en) * | 2013-05-31 | 2016-01-19 | David Ruma | Acknowledgment authentication system and method |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7418731B2 (en) * | 1997-11-06 | 2008-08-26 | Finjan Software, Ltd. | Method and system for caching at secure gateways |
US6567857B1 (en) * | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
US6622170B1 (en) * | 1999-09-10 | 2003-09-16 | International Business Machines Corporation | System and method for DEN/LDAP client database access with a backoff capability |
US6665674B1 (en) * | 2000-02-02 | 2003-12-16 | Nortel Networks Limited | Framework for open directory operation extensibility |
US6609121B1 (en) * | 2000-07-17 | 2003-08-19 | International Business Machines Corporation | Lightweight directory access protocol interface to directory assistance systems |
US20020124057A1 (en) * | 2001-03-05 | 2002-09-05 | Diego Besprosvan | Unified communications system |
US6732105B1 (en) * | 2001-07-27 | 2004-05-04 | Palmone, Inc. | Secure authentication proxy architecture for a web-based wireless intranet application |
US7398314B2 (en) * | 2001-08-08 | 2008-07-08 | Flash Networks Ltd | System and a method for accelerating communication of TCP/IP based content through the use of fake host names |
US7035846B2 (en) * | 2002-09-23 | 2006-04-25 | International Business Machines Corporation | Methods, computer programs and apparatus for caching directory queries |
US20040139043A1 (en) * | 2003-01-13 | 2004-07-15 | Oracle International Corporation | Attribute relevant access control policies |
US20040167859A1 (en) * | 2003-02-14 | 2004-08-26 | Richard Mirabella | Software license management system configurable for post-use payment business models |
US20040215775A1 (en) * | 2003-04-24 | 2004-10-28 | Bookfactory, Llc, A California Limited Liability Corporation | System, method and computer program product for network resource processing |
US8880893B2 (en) * | 2003-09-26 | 2014-11-04 | Ibm International Group B.V. | Enterprise information asset protection through insider attack specification, monitoring and mitigation |
US20050091343A1 (en) * | 2003-10-22 | 2005-04-28 | Bookfactory, Llc | System, method and computer program product for network resource processing |
US7620630B2 (en) * | 2003-11-12 | 2009-11-17 | Oliver Lloyd Pty Ltd | Directory system |
US20060075224A1 (en) * | 2004-09-24 | 2006-04-06 | David Tao | System for activating multiple applications for concurrent operation |
-
2004
- 2004-10-28 US US10/975,292 patent/US20060092948A1/en not_active Abandoned
-
2005
- 2005-09-28 CN CNA200510108994XA patent/CN1822590A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243552A (zh) * | 2014-08-19 | 2014-12-24 | 天津南大通用数据技术股份有限公司 | 基于ldapv3协议的快速统计目录子树条目数的方法 |
CN104243552B (zh) * | 2014-08-19 | 2017-09-15 | 天津南大通用数据技术股份有限公司 | 基于ldapv3协议的快速统计目录子树条目数的方法 |
CN104410495A (zh) * | 2014-11-19 | 2015-03-11 | 天津南大通用数据技术股份有限公司 | 基于ldapv3控制操作的目录认证实现方法 |
CN104410495B (zh) * | 2014-11-19 | 2018-03-27 | 天津南大通用数据技术股份有限公司 | 基于ldapv3控制操作的目录认证实现方法 |
CN110012031A (zh) * | 2019-04-26 | 2019-07-12 | 中国电子科技集团公司第二十九研究所 | 数据报文通用自动解析方法和存储方法 |
CN110012031B (zh) * | 2019-04-26 | 2022-03-08 | 中国电子科技集团公司第二十九研究所 | 数据报文通用自动解析方法和存储方法 |
CN111355607A (zh) * | 2020-02-17 | 2020-06-30 | 苏州亿歌网络科技有限公司 | 基于ldap的域管理方法、系统、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US20060092948A1 (en) | 2006-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1822590A (zh) | 保护轻量级目录访问协议的通信 | |
US10055561B2 (en) | Identity risk score generation and implementation | |
JP4880278B2 (ja) | 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 | |
US11223622B2 (en) | Federated identity management for data repositories | |
US10313329B2 (en) | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service | |
US8578487B2 (en) | System and method for internet security | |
US7185361B1 (en) | System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server | |
US20040073668A1 (en) | Policy delegation for access control | |
US20110282909A1 (en) | Secregating anonymous access to dynamic content on a web server, with cached logons | |
US20040054791A1 (en) | System and method for enforcing user policies on a web server | |
US20030105978A1 (en) | Filter-based attribute value access control | |
US11863557B2 (en) | Sidecar architecture for stateless proxying to databases | |
KR20110124208A (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
US20230029212A1 (en) | Centralized applications credentials management | |
US20030088648A1 (en) | Supporting access control checks in a directory server using a chaining backend method | |
US8898753B1 (en) | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service | |
US7627758B1 (en) | Method and system for performing a security check | |
US20230334140A1 (en) | Management of applications’ access to data resources | |
Yousefnezhad et al. | Authentication and access control for open messaging interface standard | |
WO2021183278A1 (en) | Sidecar architecture for stateless proxying to databases | |
Bindiganavale et al. | Role based access control in enterprise application-security administration and user management | |
KR20170109953A (ko) | 엔터프라이즈 영역의 보호 및 논리적 확장을 위한 소프트웨어 기반 경계 제어 방법 | |
Anderson | Securing Your Application | |
Cazzulino et al. | ASP. NET Authentication, Authorization, and Security | |
Badkar et al. | Oracle Database Security Guide 11g Release 2 (11.2) E16543-01 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20060823 |