JP2006127504A - 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 - Google Patents

軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 Download PDF

Info

Publication number
JP2006127504A
JP2006127504A JP2005297613A JP2005297613A JP2006127504A JP 2006127504 A JP2006127504 A JP 2006127504A JP 2005297613 A JP2005297613 A JP 2005297613A JP 2005297613 A JP2005297613 A JP 2005297613A JP 2006127504 A JP2006127504 A JP 2006127504A
Authority
JP
Japan
Prior art keywords
ldap
access protocol
directory access
lightweight directory
allowed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005297613A
Other languages
English (en)
Other versions
JP2006127504A5 (ja
JP4880278B2 (ja
Inventor
Ariel Katz
カッツ アリエル
Ron Mondri
モンドリ ロン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/975,292 external-priority patent/US20060092948A1/en
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006127504A publication Critical patent/JP2006127504A/ja
Publication of JP2006127504A5 publication Critical patent/JP2006127504A5/ja
Application granted granted Critical
Publication of JP4880278B2 publication Critical patent/JP4880278B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】軽量ディレクトリアクセスプロトコル(LDAP)を使用するトラフィックをセキュリティ保護するために使用され得る技術を提供する。
【解決手段】方法は、クライアントとサーバの間の通信のために、軽量ディレクトリアクセスプロトコル(LDAP)に従って構成されたデータをインターセプトすることを含む。データ内に指定されたLDAP動作の実施が許可されるかどうか判断するために、1つまたは複数のポリシーがデータに適用される。実施が許可されない場合は、LDAP動作は、修正済みのLDAP動作の実施が許可されるように修正される。
【選択図】図4

Description

本発明は、一般には、データ管理の分野に関し、より詳細には、軽量ディレクトリアクセスプロトコルトラフィックをセキュリティ保護することに関する。
(頭文字「LDAP」によって参照されることもある)軽量ディレクトリアクセスプロトコル(Light Weight Directory Access Protocol)は、(オペレーティングシステムコンポーネント、スタンドアロンアプリケーションなどの)アプリケーションモジュールが幅広い種類のデータにアクセスするために使用し得るインターネットプロトコルである。たとえば、アプリケーションモジュールは、LDAPサーバからの連絡先情報にアクセスし得る。LDAPサーバは、ディレクトリのような情報が格納され、検索され、表示され、更新されることを可能にする。たとえば、LDAPサーバは、組織または組織単位のための中央ディレクトリとして配置され得る。さらに、LDAPサーバは、ユーザおよびコンピュータのアカウント識別の管理のために使用されることができ、したがって、ユーザ認証で使用するために配置され得る。
しかし、実装によっては、LDAPサーバは、潜在的に信頼できないクライアントから保護されないデータを含むことがあり、それによって、LDAPサーバ、およびそれ上でアクセス可能なデータが、悪意のある関係者からの攻撃にさらされる可能性がもたらされる。たとえば、LDAPサーバは、LDAPディレクトリ内に、ユーザアカウント情報、企業のサーバ位置などの機密データを含み得る企業の内部情報を含むように構成されることができる。したがって、企業の環境の内部に位置するクライアントは、(たとえば企業イントラネットを介して)LDAPディレクトリにアクセスして、たとえばサーバ管理およびユーザ認証のための所望のデータを取得することができる。しかし、この環境の「外部」に位置するクライアントもまた、「電子商取引」の目的でユーザアカウントにアクセスするなどのために、(たとえばインターネットを介して)このデータにアクセスすることを望み得る。したがって、LDAPサーバが企業イントラネットの「内部」に位置し得るとしても、こうしたLDAPディレクトリは、企業イントラネットの外部のクライアントにやはり公開されることがあり、その結果として、このデータの取得を試みるハッカーによる攻撃に、それに伴ってさらされるということになり得る。
したがって、軽量ディレクトリアクセスプロトコルを使用するトラフィックをセキュリティ保護するために使用され得る技術が引き続き求められている。
軽量ディレクトリアクセスプロトコルに従って構成されたトラフィックをセキュリティ保護するために実行可能な軽量ディレクトリアクセスプロトコルフィルタモジュール(LDAPフィルタモジュール)について述べる。たとえば、LDAPフィルタモジュールは、軽量ディレクトリアクセスプロトコルに従ってデータを編成するLDAPディレクトリと、LDAPディレクトリへのアクセスを要求するアプリケーションとの間に配置され得る。LDAPフィルタモジュールは、実行されるときに、たとえばLDAPディレクトリに対して実施され得るLDAP動作を制限するための1つまたは複数のポリシーを実施するために、要求および/または要求への応答をインターセプトし、構文解析し得る。たとえば、そのポリシーは、(「変更」など)特定のLDAP操作が実施されないこと、(「ユーザ名の削除」など)特定のLDAP操作が特定のLDAPオブジェクトに対して実施されないこと、(「パスワード」など)特定のLDAPオブジェクトが無許可のユーザによってアクセスされないことなどを指定し得る。したがって、LDAPフィルタモジュールは、LDAPディレクトリとアプリケーションの間のトラフィックを管理し得る。
LDAPフィルタモジュールによって実装されるポリシーを構成するために、ユーザインターフェースも提供され得る。たとえば、ユーザインターフェースは、LDAP動作についての複数の説明を提供し得る。ユーザは、説明されたLDAP動作が実施されるべきかどうか示すために、ユーザインターフェースと対話して、説明のうちの1つまたは複数を選択する。この対話は、トラフィック管理のためにLDAPフィルタモジュールによって実装され得るポリシーを、それに従って構成するために使用され得る。
議論内の例では、同じ参照番号を使用して、同様の構造および構成要素を参照する。
図1は、軽量ディレクトリアクセスプロトコルトラフィックが通信され得る例示的な実装での環境100の図である。図示する環境100は複数のクライアント102(n)を示しており、ただし、「n」は、1から「N」までの任意の整数であり得る。複数のクライアント102(n)は、ネットワーク106を介して複数のサーバ104(m)に通信可能に結合するものとして示されており、ただし、「m」は、1から「M」までの任意の整数であり得る。複数のクライアント102(n)およびサーバ104(m)のそれぞれは、様々なやり方で構成され得る。たとえば、1つまたは複数のクライアント102(n)は、デスクトップンコンピュータ、移動局、娯楽機器、表示デバイスに通信可能に結合されたセットトップボックス、ゲームコンソール、無線電話など、ネットワーク106を介して通信することができるコンピューティングデバイスとして構成され得る。クライアント102(n)は、(パーソナルコンピュータ、ゲームコンソールなどの)かなりのメモリおよびプロセッサリソースを備えた十分なリソースのデバイスから、(従来のセットトップボックスなどの)限られたメモリおよび/または処理リソースを備えた低リソースデバイスにまで及び得る。以下の議論のために、クライアント102(n)は、各自のクライアントを動作する人および/またはエンティティにも関連し得る。換言すると、クライアント102(n)は、ユーザおよび/またはマシンを含む論理クライアントを表し得る。
同様に、複数のサーバ104(m)もまた、様々なやり方で構成され、十分なリソースのデバイスから低リソースのデバイスなどにまで及び得る。したがって、用語「サーバ」および「クライアント」は、個々のサーバおよびクライアントによって提供される個々の量のメモリおよびプロセッサを必ずしも表さない。たとえば、クライアント102(n)のうちの1つまたは複数は、かなりのプロセッサおよびメモリリソースを含むように構成され得るが、複数のサーバ104(m)のうちの1つまたは複数は、限られたプロセッサおよびメモリリソースを含むように構成され得る。
クライアント102(n)は、各自のプロセッサ108(n)およびメモリ110(n)を含むものとして示されている。同様に、サーバ104(m)もまた、各自のプロセッサ112(n)およびメモリ114(m)を含むものとして示されている。プロセッサは、それを形成するための材料、またはそこで使用される処理機構によって限定されない。たとえば、プロセッサは、(電子集積回路(IC:Integrated circuit)などの)半導体および/またはトランジスタで構成され得る。こうしたコンテキストでは、プロセッサ実行可能命令は、電子的に実行可能な命令であり得る。あるいは、プロセッサのまたはそのための、したがってコンピューティングデバイスのまたはそのための機構には、それだけに限らないが、(たとえばナノ技術を使用した)量子コンピューティング、光コンピューティング、機械コンピューティングなどが含まれ得る。さらに、個々のクライアント102(n)およびサーバ104(m)のそれぞれについて、単一のメモリ110(n)、114(m)が示されているが、メモリ110(n)、114(m)は、ランダムアクセスメモリ(RAM:random access memory)、ハードディスクメモリ、取外し可能媒体メモリなどのメモリデバイスの様々なタイプおよび組合せを表し得る。
ネットワーク106は、軽量ディレクトリアクセスプロトコル(LDAP)などディレクトリアクセスプロトコルによるデータの通信を提供するように構成される。LDAPは、クライアント102(n)およびサーバ104(m)がネットワーク106を介して互いに通信することを可能にするメッセージ指向のディレクトリアクセスプロトコルである。LDAPは、たとえば、サーバ104(m)から使用可能なLDAPディレクトリ116(m)とクライアント102(n)が通信することを可能にするために、通信制御プロトコル/インターネットプロトコル(TCP/IP:transmission control protocol/Internet protocol)を介して実行されるように構成され得る。LDAPディレクトリ116(m)は、LDAPを使用してアクセス可能な任意のディレクトリを表しており、したがって、特定のソフトウェアプロバイダによって実装されるあるタイプのディレクトリなど、任意の特定のタイプのディレクトリに限定されない。
ある実装では、LDAPディレクトリ116(m)は、階層(すなわち「ツリー」)構造に従って編成される。この階層は、企業の組織図、地理的境界など、多種多様な構造を反映するように構成され得る。たとえば、LDAPディレクトリ116(m)は複数のオブジェクト118(o)を含むことができ、ただし、「o」は、1から「O」までの任意の整数であり得る。それぞれのオブジェクト118(o)(すなわちエントリ)は、その集合の識別名(DN:distinguished name)と称され得る名前によって指定される1つまたは複数の属性の集合である。識別名は、対応するオブジェクトに明らかに言及するために使用される。ある実装では、それぞれのオブジェクト118(o)属性は、タイプ、および1つまたは複数の値をもつ。タイプは、共通名(common name)の「cn」、電子メール(email)の「mail」など、名前または記憶法を用いて一般に表される。値は、属性に対応する多種多様なデータを含み得る。たとえば、「mail」属性は、値「test@test.com」を含み得る。
以下の議論のため「LDAP動作」と称される様々な動作が、LDAPを使用して実施され得る。たとえば、LDAP機能モデルは、質問操作、更新操作、および認証制御操作など、様々なLDAP操作をサポートする。質問操作の例には、「検索」および「比較」が含まれる。「検索」操作は、たとえば、複数のオブジェクト118(o)のうちの単一のオブジェクトを突き止め、LDAPディレクトリ116(m)の階層構造内のサブツリー内に位置する複数のオブジェクトを検索するなどのために使用され得る。比較操作は、特定のオブジェクト118(o)が特定の値を含むかどうか比較するために使用され得る。
更新操作の例には、「追加」「削除」「変更」および「リネーム」(すなわち名前変更)が含まれる。こうした操作によって、オブジェクト118(o)をそれぞれ追加し、削除し、変更し、名前変更する能力がもたらされる。認証制御操作の例には、「バインド」「アンバインド」および「中止」が含まれる。バインド操作は、実施されるときに、クライアント102(n)が認証情報を伝えることによってサーバ104(m)、より具体的にはLDAPディレクトリ116(m)に対して身分を明かすことを可能にする。アンバインド操作の実行によって、サーバ104(m)は、認証情報を廃棄することができる。中止操作は、クライアント102(n)に、前に送信されたLDAP操作の実施がもはや望まれないことをサーバ104(m)に示す能力を提供する。たとえば、クライアント102(n)は、検索操作を開始して、特定のオブジェクト118(o)を突き止め、次いで中止操作を開始して、サーバ104(m)による検索操作を終了させることができる。9つのLDAP操作について述べたが、LDAP拡張操作、LDAP制御、ならびに簡易認証およびセキュリティレイヤ(SASL:simple authentication and security layer)サポートを提供するLDAP操作など、追加のLDAP操作もまた、LDAP動作の精神および範囲内にある。
LDAPは、様々な異なるプラットフォーム間で通信を提供するために使用されることができ、したがって、「プラットフォーム独立型」と見なされ得る。したがって、本明細書で述べる諸特徴は、様々なプロセッサを含む様々な市販のコンピューティングプラットフォーム上で戦略が実装され得ることを意味するプラットフォーム独立型である。たとえば、上述したように、クライアント102(n)およびサーバ104(m)は、様々なやり方で構成され、またLDAPを使用して、互いに通信し得る。したがって、(プロセッサ108(n)上で実行されるものとして示されており、またクライアント102(n)上のメモリ110(n)内に格納することができる)LDAP通信モジュール120(n)は、対応するコンピューティングデバイスによって使用される個々の構成に関係なく、ネットワーク106を介して、(プロセッサ112(m)上で実行されるものとして示されており、またサーバ104(m)上のメモリ114(m)内に格納することができる)LDAP通信モジュール122(m)と通信することができる。LDAP通信モジュール120(n)、122(m)は、LDAPに従って(メッセージなどの)データを通信し得る任意のモジュールを表す。たとえば、LDAP通信モジュール120(n)は、クライアント102(n)によって実行可能なアプリケーション内で実装され得る。
上述したように、LDAPを使用した通信は、メッセージを使用して実施され得る。たとえば、クライアント102(n)は、ネットワーク106を介してサーバ104(m)に通信される要求を形成するために、LDAP通信モジュール120(n)を実行し得る。サーバ104(m)は、LDAP通信モジュール122(m)を実行して、LDAPディレクトリ116(m)にアクセスして、ネットワーク106を介してクライアント102(n)に通信される1つまたは複数の応答を形成することによって、要求を処理し得る。応答は、たとえば、(電子メールアドレスなどの)返答、または返答が見つけられ得るところのネットワーク位置を参照するポインタを含み得る。しかし、LDAPディレクトリ116(m)へのアクセスは従来、セキュリティ保護されていなかった。したがって、LDAPディレクトリ116(m)内のオブジェクト118(o)へのアクセスは、セキュリティ保護されていなかった。したがって、クライアント102(n)は、LDAPディレクトリ116(m)へのアクセスを取得すると、それぞれのオブジェクト118(o)にアクセスすることができ、このオブジェクトの一部は、ユーザのクレジットカード情報、ホームアドレス、パスワードなどの機密情報を含むことがある。
クライアント102(n)とサーバ104(m)の間を通るデータを管理し、それによって、LDAPディレクトリ116(m)内のオブジェクト118(o)への無許可アクセスを防止するために、環境100は、LDAPフィルタモジュール124を使用し得る。LDAPフィルタモジュール124は、プロセッサ126上で実行されるものとして示されており、またLDAPフィルタリングデバイス130のメモリ128内に格納することができ、この例では、LDAPフィルタリングデバイスは、複数のクライアント102(n)と複数のサーバ104(m)の間でネットワーク106に通信可能に結合されるものとして示されている。LDAPフィルタモジュール124は、実行されるときに、LDAPフィルタリングデバイス130のメモリ128内のデータベース134内に格納されるものとして示されている複数のポリシー132(1)、…、132(p)、…、132(P)のうちの1つまたは複数に従ってトラフィックを管理する。
複数のポリシー132(1)〜132(P)は、ネットワーク106によって使用されるLDAPを介して実施され得る許可され、または許可されない動作を示すように、様々なやり方で構成されることができる。図1に、複数のポリシー132(1)〜132(P)のそれぞれが、複数のLDAP動作136(1)、…、136(p)、…、136(P)のうちの各自の動作を参照するものとして示されている。たとえば、LDAP動作136(1)は、特定のLDAP操作138の実施が許可されるかどうか参照するものとして示されている。たとえば、ポリシー136(1)によって参照されるLDAP動作136(1)は、LDAPディレクトリ116(m)に対して「変更」LDAP操作が許可されないことを示し得る。したがって、ポリシー132(1)は、LDAPフィルタモジュール124によって参照されるときに、LDAPディレクトリ116(m)に対する「変更」LDAP操作の実施を防止するために使用され得る。
別の実施例では、ポリシー132(p)は、LDAP操作140および特定のLDAPオブジェクト142を含むLDAP動作136(p)を参照し得る。ポリシー132(p)は、たとえば、すべての「変更」LDAP操作の実行を防止するのではなく、(ユーザパスワードなどの)他のオブジェクトの変更を可能にしながら、(「ユーザログイン名」などの)特定のオブジェクト118(o)を変更する能力を制限し得る。ポリシー132(P)は、クライアント102(n)のうちの1つまたは複数がインターネットを介して接続している場合に、たとえばクライアント102(n)からのロケータpingだけがサーバ104(m)のうちの1つまたは複数のサーバを見つけることができるようにすることによる、「その他」144のタイプのLDAP動作136(P)をも表し得る。
LDAPフィルタモジュール124、LDAPフィルタリングデバイス130、複数のクライアント102(n)および複数のサーバ104(m)は、多種多様な異なる環境で実装され得る。たとえば、LDAPフィルタモジュール124は、専用LDAPサーバ上の(図2に関連して、その一例が示されている)ネットワークファイヤウォールデバイスなどとして実装され得る。
一般に、本明細書で述べる機能のいずれもが、ソフトウェア、(固定の論理回路などの)ファームウェア、マニュアル処理、またはこうした実装の組合せを使用して実装され得る。本明細書では、用語「モジュール」、「機能」、および「論理」は一般に、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアの組合せを表す。ソフトウェア実装の場合では、モジュール、機能または論理は、(1つまたは複数のCPUなどの)プロセッサ上で実行されるときに特定のタスクを実施するプログラムコードを表す。プログラムコードは、メモリ110(n)、114(m)、128などの1つまたは複数のコンピュータ読取り可能メモリデバイス内に格納され得る。上述したように、後述するLDAP管理戦略の諸特徴は、様々なプロセッサを含む様々な市販のコンピューティングプラットフォーム上で戦略が実装され得ることを意味するプラットフォーム独立型である。
図2は、インターネットを介して複数のコンピューティングデバイスにアクセスを提供するために、複数のクライアント102(n)、複数のサーバ104(m)、および図1のLDAPフィルタリングデバイス130が企業イントラネット内で実装されている環境200の図である。図2の環境200では、電子商取引、従業員へのリモートアクセスなどの多種多様な機能を提供するために使用され得る「フロントエンド/バックエンド」サーバアーキテクチャが示されている。このアーキテクチャでは、サーバタスクは、フロントエンドとバックエンドのサーバ202、204間で分散される。
フロントエンドサーバ202は、たとえば、インターネット208を介して複数のコンピューティングデバイス206(1)、…、206(a)、…、206(A)からの要求を受け付けるように構成され得る。図1の複数のクライアント102(n)は、図2では、複数のバックエンドサーバ204のうちの1つまたは複数による処理のためにネットワーク106を介して要求を通信するフロントエンドサーバ202として構成される。したがって、図2の環境内では、フロントエンドサーバ202は、バックエンドサーバ204の「クライアント」である。バックエンドサーバ204のうちの少なくとも1つは、図1のサーバ104(m)として構成され、したがって、LDAPディレクトリ116(m)を含む。ある実装では、LDAPディレクトリ116(m)は、電子商取引のためのユーザアカウント情報など、クライアント102(n)(すなわちフロントエンドサーバ202)によって要求されるデータを提供する。別の実装では、LDAPサーバ104(m)は、バックエンドサーバ204のうちの別のサーバ上のどこで所望のデータが突き止められるかを表すデータを提供する。換言すると、この実装では、LDAPディレクトリ116(m)は、他のバックエンドサーバ204のネットワークアドレスを「指す」。したがって、LDAPディレクトリ116(m)は、クライアント102(n)がLDAPディレクトリ116(m)にアクセスして、ユーザアカウント情報などの所望のデータのネットワーク位置を見つけ得るように構成され得る。
フロントエンドサーバ202が複数のコンピューティングデバイス206(1)〜206(A)に露呈されることによる攻撃からバックエンドサーバ204を保護するために、LDAPフィルタリングデバイス130は、ネットワークファイヤウォールデバイス210として構成され得る。ネットワークファイヤウォールデバイス210は、ネットワーク106上でフロントエンドとバックエンドのサーバ202、204の間に配置されるものとして示されている。ネットワークファイヤウォールデバイス210は、LDAPフィルタモジュール124を実行して、サーバ202、204間のトラフィックを管理し、したがって、コンピューティングデバイス206(1)〜206(A)によるバックエンドサーバ204への無許可のアクセスを制限する。たとえば、LDAPフィルタモジュール124は、LDAPを使用して通信されるデータのフィルタリング、要求および応答の認証などを提供し得る。
図3は、図1のLDAPフィルタリングデバイス130が、複数のクライアント102(1)〜102(N)にLDAPディレクトリ134を提供するためのサーバ304として企業イントラネット302内に実装された環境300の図である。図2の環境200では、LDAPフィルタリングデバイス130は、「スタンドアロン」のネットワークファイヤウォールデバイスとして実装されていた。LDAPフィルタモジュール124の機能は、図3に示すように、複数のサーバ104(m)のうちの1つまたは複数のサーバ内に組み込まれることもできる。たとえば、複数のクライアント102(1)〜102(N)は、各自のLDAP通信モジュール120(1)〜120(N)を実行して、複数のサーバ104(m)によって実装されたLDAPディレクトリ116(m)によって参照されるデータを突き止めることを求める要求を形成し得る。例示的な環境100、200、300について図1、2および3に関連して述べたが、その精神および範囲から逸脱せずに、たとえば図1のLDAPフィルタリングデバイス130をプロキシとして実装することによって、様々な他の例示的な環境も企図される。
(例示的な手順)
次の議論では、上述のシステムおよびデバイスを使用して実装され得る、LDAPトラフィックを管理する技術について述べる。各手順の側面は、ハードウェア、ファームウェアまたはソフトウェア、あるいはその組合せで実装され得る。手順は、1つまたは複数のデバイスによって実施される操作を指定する1組のブロックとして示されており、また個々のブロックによる諸操作を実施するために示される順序に必ずしも限定されない。以下の例示的な諸手順は、その精神および範囲から逸脱せずに、多種多様な他の環境内で実装され得ることに留意されたい。
図4は、LDAPを使用したネットワークを介してクライアントとサーバの間で通信されるトラフィックを管理するために図1のLDAPフィルタモジュール124が実行される例示的な実装での手順400を示すフローチャートである。LDAPフィルタモジュール124が、サーバ104(m)とクライアント102(n)の間で通信されるデータ402を監視するために実行される(ブロック404)。たとえば、データ402は、クライアント102(n)から、LDAP動作を実施するサーバ104(m)への通信要求として構成され得る。別の実施例では、データ402は、(LDAP操作の実施によってもたらされる結果など)クライアント102(n)から生じた要求に応答してサーバ104(m)によって実施されるLDAP動作の結果として構成され得る。
LDAPフィルタモジュール124は、実行されるときに、データ内に指定されたLDAP動作406が1つまたは複数のポリシー132(p)に従って許可されるかどうか判断する(ブロック408)。たとえば、LDAPフィルタモジュール124は、LDAP動作406を複数のポリシー132(p)のそれぞれと比較して、クライアント102(n)から生じた、特定の動作の実施要求が許可されるかどうか判断し得る。たとえば、ポリシー132(p)のうちの1つまたは複数は、特定の操作が特定のクライアントによってだけ実施され得ることを指定し得る。したがって、LDAPフィルタモジュール124は、要求が、ネットワーク管理者、「信頼できる」ユーザなどのクライアントによって受信されたかどうか判断し得る。同様に、データ402は、LDAP動作406の実施の結果であり得る。したがって、LDAPフィルタモジュール124は、クライアント102(n)がこうした結果を受信することを許可されているかどうか判断するために実行され得る。
様々な他の判断が、LDAPフィルタモジュール124の実行によって行われ得る。たとえば、LDAPフィルタモジュール124は、認証操作シーケンスを検査し、(たとえば最低限の認証レベルに達しているかどうか(たとえばポリシー132(p)のうちの1つに従って)判断することによって、十分なレベルの認証を実施することができる。たとえば、クライアント102(n)が「匿名」と名乗り、または「基本」証明書を使用する場合、LDPAフィルタモジュール124は、最低レベルの所望の認証を得ることができないため、その認証を拒否し得る。別の実施例では、LDPAフィルタモジュール124は、署名され/封印されたLDAPトラフィックを許可するかどうか判断し得る。さらに別の実施例では、LDPAフィルタモジュール124は、データ402がLDAP仕様に適合しているかどうかについての判断が行われるように、LDAP仕様の正確さを強制し得る。そうでない場合、図5および6に関してさらに述べるように、データは、適合するように修正され得る。さらに別の実施例では、LDAPフィルタモジュール124は、NULLベースのクエリなど、LDAPディレクトリ116(m)上の既知の行為に対して保護し得る。さらに、LDAPフィルタモジュール124は、通常のLDAPサーバポートと、グローバルカタログの両方に作用することができる。たとえば、グローバルカタログは、(1組のLDAPサーバなどの)ドメイン全体のための権限オブジェクトストアとして働く(LDAPサーバなどの)Windows(登録商標)ドメインコントローラである。換言すると、ドメインコントローラは、仮想階層ストアの根として働く。
指定されたLDAP動作が許可される場合、LDAP動作406の実施が、LDAPフィルタモジュール124によって、クライアント102(n)がその判断を認識しないように許可される(ブロック410)。たとえば、データ402が要求として構成される場合、LDAPフィルタモジュール124は、指定されたLDAP動作406をサーバ104(m)に実施させることを求める要求を転送し得る。別の実施例では、データ402が結果412として構成される場合、LDAPフィルタは、トラフィック管理のためのLDAPフィルタモジュール124の実行についてクライアント102(n)に通知せずに、ネットワーク106を介したクライアント102(n)への結果412の通信を許可し得る。したがって、LDAPフィルタモジュール124の実行は、クライアント102(n)および/またはサーバ104(m)にとって「透過的」であり得る。
指定されたLDAP動作406が許可されない場合、1つまたは複数の対応する行為が実施される(ブロック414)。たとえば、LDAPフィルタモジュール124は、LDAP動作406が許可されないと判断すると、クライアント102(n)のサーバ104(m)とのネットワーク接続を終了416し得る。別の実施例では、LDAPフィルタモジュール124は、修正されたデータがLDAP動作の完了に適するようにデータ402を修正し得る。たとえば、LDAPフィルタモジュール124は、要求によって指定されるLDAP操作が実施され得るように要求を修正することができ、それについてのさらなる議論は、図5に関して見ることができる。別の例では、LDAPフィルタモジュール124は、クライアント102(n)に通信されることを許可されたデータを含むように応答を修正することができ、それについてのさらなる議論は、図6に関して見ることができる。
図5は、LDAPフィルタモジュールによってインターセプトされた、許可されないLDAP動作の実施を求める要求が、要求によって指定された修正済みLDAP動作が許可されるように修正される例示的な実装での手順500を示すフローチャートである。クライアントからサーバへの通信の要求が、LDAPフィルタモジュールによってインターセプトされる(ブロック502)、たとえば、LDAPフィルタモジュールは、ネットワーク上でクライアントとサーバの間に配置されたネットワークファイヤウォールデバイスとして構成され得る。
インターセプトに応答して、複数のポリシーのうちの1つが、LDAPフィルタモジュールによって選択される(ブロック504)。次いで、LDAPフィルタモジュールは、要求内に指定されたLDAP動作にそのポリシーを適用して(ブロック506)、LDAP動作が許可されるかどうか判断する(判断ブロック508)。
LDAP動作が許可される場合、LDAPフィルタモジュールは、別のポリシーが使用可能かどうか判断する(判断ブロック510)。そうである場合、上述したように、ポリシーがLDAP動作に適用される(ブロック506)これは、別のポリシーが使用することができなくなるまで(判断ブロック510)、LDAP動作が許可される各ポリシーについて継続し得る(判断ブロック508)。この時点で、LDAP動作の実施を求める要求が、通信され得る(ブロック512)。
LDAP動作が許可されない場合(判断ブロック508)、要求は、修正されたLDAP動作を指定する修正済み要求を形成するように修正される(ブロック514)。たとえば、要求は、そのうちの1つが「変更」操作である複数のLDAP操作の実施を指定することができる。しかし、ポリシーは、変更操作が許可されないことを指定し得る。したがって、変更操作を指定する要求の部分が削除され、それによって、要求内で指定された他のLDAP動作の実施を許可し得る。別の実施例では、要求は、特定のLDAP操作、およびLDAP操作を実施する対象の複数のオブジェクトを指定し得る。しかし、ポリシーは、指定されたLDAPオブジェクトのうちの1つに対して更新操作が実施され得ないことを指定し得る。したがって、その特定のLDAPオブジェクトについての更新操作は、修正済みの要求がポリシーに適合するように、要求から取り除かれ得る。(トラフィックのエンドツーエンド署名が行われない場合など)要求/応答の修正がサポートされない別の実装では、上述したように、LDAPフィルタモジュールは、依然として要求を阻止し得る。
図6は、ポリシーによって許可されないLDAP動作の実施によってもたらされた、LDAPフィルタモジュールによってインターセプトされた応答が、修正済みの応答がポリシーに適合するように修正される例示的な実装での手順600を示すフローチャートである。まず、ユーザの公開暗号化証明書を求める要求が、クライアントからサーバに通信される(ブロック602)。したがって、サーバは、公開暗号化証明書を含む、ユーザのアカウント情報を含む応答を形成する(ブロック604)。
LDAPフィルタモジュールは、実行されるときに、サーバからの応答をインターセプトする(ブロック606)。次いで、LDAPフィルタモジュールは、1つまたは複数のポリシーをその応答に適用して(ブロック608)、クライアントへの応答の通信が許可されるかどうか判断する(判断ブロック610)。ポリシーは、たとえば、ユーザのクレジット情報が、その情報を求める、特定の証明書によって署名された要求にだけ応答して通信されることを指定し得る。しかし、この実施例では、通信された要求(ブロック602)は、こうした証明書を含まない。したがって、応答は、クライアントへの修正済み応答の通信が1つまたは複数のポリシーに従って許可されるように修正される(ブロック612)。上記の例について続けると、クレジット情報が、単に公開暗号化証明書を含む修正済み応答を形成するために応答から取り除かれ、したがって、修正済み応答は、ポリシーに適合する。したがって、その応答は、クライアントに通信され得る(ブロック614)。要求および応答を修正するための様々な技術について述べたが、その精神および範囲から逸脱せずに、様々な他の技術も企図される。
図7は、ポリシーに含めるために1つまたは複数のプロパティを、ユーザインターフェースを介して選択することによって、ユーザがユーザインターフェースを介してポリシーを設計する例示的な実装での手順700を示すフローチャートである。図1のLDAPフィルタモジュール124が実行されて、LDAPフィルタモジュールによる実装ためのポリシーを生成するように構成されたユーザインターフェースが出力される(ブロック702)。たとえば、ネットワーク管理者(以下「管理者」)は、ユーザインターフェースと対話して、ポリシーを構成し得る。
したがって、LDAPフィルタモジュールは、管理者から、ポリシーによる実装のためのプロパティを選択する1つまたは複数の入力を受信し得る(ブロック704)。たとえば、管理者は、特定のLDAP操作、特定のLDAPオブジェクト、特定のLDAP操作およびオブジェクトなど、どの動作がポリシーに従って実施され得ないかを指定することができる。入力に応答して、LDAPフィルタモジュールは、受信された入力を反映するようにポリシーを構成する(ブロック706)。次いで、構成されたポリシーをLDAPフィルタモジュールによって使用して、それに従ってサーバとクライアントの間のトラフィックを管理することができる(ブロック708)。ポリシーの構成のため、様々なユーザインターフェースが、LDAPフィルタモジュール124によって出力され得る。このポリシー構成の例について、次の節で述べる。
(LDAPポリシー構成)
図8から20は、図1から7のLDAPフィルタモジュール124によって出力され得るユーザインターフェースの例示的な実装を示す図である。このユーザインターフェースは、どのLDAP動作が許可され、または許可されないかを選択するなど、ポリシーを構成するためのユーザによるプロパティ選択の様々な技術を提供し得る。たとえば、ユーザインターフェースは、ポリシーをそれに応じて構成させるためにユーザによって選択されることができる、LDAP機能についての複数の説明を提供し得る。たとえば、図8に示すように、ユーザインターフェースは、LDAPバインド操作時に使用され得る複数の認証機構を表す「認証」ページ800を含み得る。ユーザは、(マウスなどの)カーソル制御デバイスで対応するボックスを「チェック」することによって、認証機構のうちの1つまたは複数を選択し得る。したがって、対応するポリシーは、認証機構のうちのどれがユーザによって選択されたかに基づいて構成され得る。
図9は、「操作」ページ900を示すユーザインターフェースの図である。操作ページ900は、定義され得る論理LDAPの論理グループ分けを示している。さらに、「編集」ボタンを選択することによって、ユーザは、図10のユーザインターフェースの「選択」ページ1000内に示すような特定のLDAP操作を選択し得る。選択ページ1000は複数のチェックボックスをも含むが、この例では、それぞれのボックスは特定のLDAP操作を選択するためのものであり、LDAP操作は、図10に、「バインド」、(「NULLベースのクエリを許可」というタイトルのネストされた選択項目を含むものとして示されている)「検索」、「比較」、「変更」、「DN変更」、「追加」および「削除」として示されている。
図11に示すように、ユーザインターフェースは、LDAPフィルタモジュールを介して、暗号化されたLDAPトラフィックを許可するかどうか、LDAPロケータping(すなわち、クライアントによるLDAPサーバの検出のための任意選択コマンドを使用するなどによる「ping」トラフィック)を許可するかどうかなど、追加のLDAP動作を選択するための「トラフィック」ページ1100をも含み得る。したがって、ユーザは、図8〜11に示すページ800、900、1000、1100のうちの1つまたは複数を選択して、トラフィック管理のためのLDAPフィルタモジュールによる実装のポリシーを構成することができる。
図12〜20は、ポリシー構成のためLDAPフィルタモジュール124によって出力され得るユーザインターフェースの別の例示的な実装を示す。図12は、LDAPフィルタモジュールについて説明しており、またユーザがLDAPフィルタモジュールをイネーブル/ディセーブルすることを可能にするユーザインターフェースの「一般」ページ1200を示す図である。
図13に、ユーザインターフェースの照会ページ1300が示されている。照会は、管理上の問題と、LDAPディレクトリへの潜在的なセキュリティリスクの両方をもたらす。たとえば、照会を使用して、外部的にはアクセス不可能であり得るサーバ名を公開し、攻撃者が内部インターネットプロトコル(IP:internet protocol)アドレスまたは名前などから内部ディレクトリリソースについてより多くのことを知ることを可能にし得る。こうした可能なセキュリティリスクに対処するために、照会ページ1300は、応答内の照会情報を制御するためにユーザによって選択可能である様々なオプションを提供し得る。
たとえば、LDAPフィルタリングデバイスが、照会エラーの場合にはLDAPクライアントとして機能し、関連オブジェクトについて正確なディレクトリサーバに再クエリするように、「プロキシ」の選択が提供され得る。しかし、これによって、結果としてもたらされる応答に、追加の参照または照会が生じることになり得る。したがって、外部クライアントに返される最終的な応答は、それが照会情報を含まないように構成され得る。
内部サーバ情報が公開されないように応答から照会を取り除かせるために、「照会削除」の選択が提供され得る。照会エラーの場合、エラーの発生を示す情報が、他の記述的情報を含まずに、クライアントに返され得る。換言すると、ある実装では、クライアントに返される情報は、単に照会エラーだけを表し得る。さらに、LDAP検索操作応答の結果に含まれるすべての参照情報が、応答からフィルタリングされ得る。別の実装では、エラーが、こうしたフィルタリングなしに返され得る。たとえば、この手法は、応答内の照会を故意に意図的に許可しない管理者にとって特に有用であり得る。
クライアントが再バインドし、照会された(すなわち「参照された」ディレクトリサーバに再クエリすることができるように、「照会保持」の選択も提供され得る。たとえば、この手法は、照会が外部的に使用可能サーバに対応する場合に望まれ得る。
ユーザインターフェースは、図14に示すように、LDAPフィルタモジュールがSSLトラフィック上のLDAPに対処するやり方を構成するためのセキュアソケットレイヤ(SSL:secure sockets layer)ページ1400を提供することもできる。たとえばSSLページ1400は、LDAPフィルタモジュールが入力および出力SSLトラフィックを修正しないようにするための「トンネル」オプションを含み得る。
SSLページ1400は、「ブリッジングオプション」をも含み得る。ウェブプロキシのハイパーテキスト転送プロトコルセキュアソケット(HTTPS:hyper text transfer protocol secure socket)のサポートと同様に、LDAPフィルタモジュールは、セキュアLDAP(以下「LDAPS」)トラフィックに関連するサーバ証明書を公開し得る。この場合、LDAPフィルタモジュールは、入力LDAP SSLトラフィックにとってのエンドポイントである。トラフィックは、復号されると、有効性およびアクセス制御についてチェックされ、次いで、たとえば通常のLDAP要求として渡される。さらに、LDAPモジュールは、クライアント証明書を認証するオプションを提供することもできる。
図14は、LDAPフィルタモジュール124のユーザインターフェースによって提供され得る「操作」ページ1400の図である。たとえば、LDAPフィルタモジュールは、実行されるときに、この操作ページ1400に従って構成されたポリシーに対して、要求LDAP操作を検査し得る。
操作ページ1400は、3つの論理グループに分割され、それぞれのグループが、定義された各LDAP操作について、許可/拒否状態を定義する。ある実装では、管理者は、新しいグループの追加、または既存のグループのいずれかの削除を行うことはできない。しかし、管理者は、「カスタム」グループの内容を編集することができる。(「読出し」ならびに「読出しおよび書込み」で示される)他の2つの論理グループの内容は、「編集」を選択した後に表示され(browse)得るが、固定のセマンティクスのために、変更されることができない。読出しグループは、(検索および比較などの)読出しのセマンティクスを含むLDAP操作を表す。ある実装では、読出しグループによって、拡張操作が可能になる。
また操作ページ1400は、「LDAP v2操作を許可」および「クライアントのコントロール送信を許可」とラベル付けされた2つのチェックボックスを含むものとして示されている。場合によっては、LDAP実装は、バージョン依存型である。たとえば、システムは、プロトコルのバージョン2だけがサポートされるように構成されることができ、別の実装は、バージョン3をサポートし得る。バージョン2は一般に、(バインド認証機構としてSASLをサポートしておらず、また簡易認証だけを可能にするなど)安全性がより低いものと見なされる。したがって、管理者は、チェックボックスを使用することによって、バージョン2の操作を阻止し得る。「コントロール許可」の選択に関して、クライアントは、各コマンドの一部として、コントロールを送信し得る。こうしたコントロールは、(たとえば、それが複数の呼出しを必要とする場合にバインド状態を管理するための)クッキーとして働き、または特定の操作について、サーバ実装の拡張を可能にし得る。したがって、「LDAP v2操作を許可」および「クライアントのコントロール送信を許可」は、管理者が制御特徴をすべてオフにすることを可能にし、または管理者がどの特定のコントロールがポリシーによって許可されるかを定義することを可能にする。
図15の操作ページ1500内に図示された「編集」ボタンの選択によって、図16のダイアログボックス1600の出力がもたらされる。このダイアログボックス1600は、カスタムのグループ分けについて、対応するLDAP操作の実施を許可し、また実施の許可を否定するための、(チェックなどの)選択、および(チェック解除などの)除外を可能にする。さらに、グループは、全体的にイネーブルまたはディセーブルされることができる。
検索操作は、セキュリティ関連プロパティのさらなる構成を可能にし、このセキュリティ関連プロパティティの例は、「nullベースのクエリ」、「間接参照エイリアス」および「クエリ内でベースDN検索スコープだけを許可」として図示されている。たとえば、LDAPは、オブジェクトが、別のオブジェクトを指すエイリアスとして定義されることを可能する。しかし、こうしたエイリアスは、管理者が誤ってこうしたオブジェクトを、アクセティブ制御リスト(ACL:active control list)によってうまく保護されない内部オブジェクトに向かせるシナリオでは、危険であり得る。したがって、このプロパティは、間接参照エイリアスオブジェクトが検索操作において許可されないように構成され得る。「クエリ内でベースDN検索スコープだけを許可」は、チェックされている場合、検索LDAP操作が、検索要求内で単一のDNより大きいスコープを定義するなどによって、指定されたベースDNに加えてオブジェクトにアクセスするために、ワイルドカードを使用し得ないことを指定する。たとえば、これは、ユーザリスト、クレジット情報など、機密のオブジェクト集合を公開し得るワイルドカード検索から、組織のディレクトリ情報ツリー(DIT:directory information tree)を保護するために使用され得る。
拡張操作は、ダイアログボックス1600を用いて、「イネーブル」または「ディセーブル」されることもできる。たとえば、LDAPは、追加の操作が特定のLDAP実装に追加されることを可能にし得る。拡張操作は、たとえば、一意のオブジェクト識別子(OID:object identifier)によって識別され得る。ダイアログボックス1600内の「拡張操作」は、選択されるときに図17のダイアログボックス1700の出力をもたらす対応する「選択ボタン」を含むものとして示されている。ダイアログボックス1700は、管理者に、OIDに従って操作を手作業で追加/削除し、ディレクトリサーバを選択し、特定のプロパティを介して拡張操作リストを読み出し、またサーバからクライアントに送信される請求されていないイベントを管理する能力を提供する。
図18は、LDAPフィルタモジュール124のユーザインターフェースとして出力され得る認証ページ1800の図である。認証ページ1800は、管理者がLDAPフィルタモジュールによって許可される認証の「レベル」をクライアントバインド要求内で選択することを可能にするように構成される。クライアントのバインド要求が適切なレベルの認証を含んでいない場合、たとえば、LDAPフィルタモジュールは、LDAPサーバ(すなわちLDAPディレクトリにアクセスを提供するサーバ)にそれを渡さずに要求を拒否し得る。たとえば、管理者は、(NULLパスワードを含むバインド要求など)匿名の要求を許可しないことがあり、LDAP操作が、最初に「バインド」操作を完了せずに実施されることなどを許可し得ない。
認証ページ1800は、ユーザによる選択のための複数の認証機構を示している。図示するように、認証機構は、追加されまたは削除されることもできる。認証ぺージ1800の図示された「選択」ボタンによって、管理者はディレクトリサーバを選択することができ、このディレクトリサーバから、サポートされるSASL機構が列挙される。列挙によって、リストされていない新しい機構がもたらされる場合、こうした認証機構は、管理者による選択のために、認証ページ1800に追加され得る。
ある実装では、LDAPフィルタモジュール124は、実際の認証器の働きをするために、LDAPフィルタリングデバイス130上で実行され、それによって、この意味では、LDAPサーバとして振る舞い、クライアントの認証を実施し得る。この実装では、LDAPディレクトリアクセスを許可されると見なされる1組のユーザセキュリティID(SID:security ID)が定義される。(図2のネットワークファイヤウォールデバイス210として構成される場合など)LDAPフィルタリングデバイス130は、認証を実施し、許可されたユーザのリストに対して、認証されたユーザアクセストークンを比較し得る。比較が成功する場合、その要求は、さらなる処理のため通信され得る。
図19は、LDAPフィルタモジュール124のユーザインターフェースの一部として出力され得る「アクセス制御」ページ1900の図である。アクセス制御ページ1900は、特定の状況において、かつ/または特定のプロパティを求める場合に、対応するLDAPオプションに関係なく、特定のDNSへのアクセスを制御するために使用され得る。たとえば、アクセス制御ページ1900は、LDAPアクセス規則からなる単純でグローバルなアクセスポリシー(すなわちユーザセットまたはIPに関連がないアクセスポリシー)を定義し得る。それぞれのアクセス規則は、たとえば、以下に基づいてアクセスを許可/拒否することができる。
1)ベースDN
2)(ベースDN、直接の子のリスト、サブツリー内の各オブジェクトなど)規則が適用されるアクセス範囲、および
3)要求されたプロパティリスト
この規則は、「最初の一致」が勝るように順序付けされ得る。検索操作に一致する規則がない場合、既定値によって、アクセスが拒否され得る。
規則は、図19のアクセスポリシーページ1900内の図示された上下矢印を用いて、再順序付けされ得る。「アクセス範囲」フィールドの使用についてさらに示すために、以下の例について考慮されたい。第1の例では、ベースDNは、「CN=ユーザ、DN=some_corp、DN=com」に等しい。このアクセス範囲は、「単一のレベル」に設定され、要求されたプロパティリストは、クラス「X」のプロパティ「P1」、「P2」に設定される。これは、この規則が、P1およびP2のプロパティを有する、ベースDNのもとのすべての直接オブジェクトに適用されることを意味する。DNの直接オブジェクトの範囲外、または異なるプロパティに対する要求は規則に関係がない。第2の例では、ベースDNは、「根」に等しい。アクセス範囲は「サブツリー」に設定され、要求されるプロパティリストは、「すべてのプロパティ」(およびすべてのクラス)に設定される。これは、ディレクトリへのいずれのアクセスもが常に許可されまたは拒否されることを意味する。検索について特定のプロパティが許可されるシナリオでは、他の各プロパティは、応答から切捨てられ得る。たとえば、LDAPフィルタモジュールは、図6に関して上述したように、クライアントに応答を返す前に、それを編集することができる。
図19のアクセスポリシーページ1900内で「編集」ボタンを選択すると、図20にその一例が示されているダイアログボックス2000が表示される。図20のダイアログボックス2000は、管理者が特定の動作への規則の適用を指定し、DN名を指定し、アクセス範囲およびクラス名を設定し、またもしあればどのプロパティが規則に適用可能かを選択することを可能にする。例示的なユーザインターフェースについて述べたが、ユーザインターフェースは、LDAPフィルタモジュールによる実装のためのポリシーの構成を提供する様々なやり方で構成され得ることが当然明らかであろう。
(結論)
本発明について、構造上の特徴および/または方法論的な行為に特有の言語で述べたが、添付の特許請求の範囲中に定義される本発明は、上述の特定の特徴または行為に必ずしも限定されないことを理解されたい。そうではなく、特定の特徴および行為は、特許請求の範囲中に記載された本発明を実施する例示的な形として開示されている。
軽量ディレクトリアクセスプロトコルトラフィックが通信され得る例示的な実装での環境を示す図である。 複数のクライアント、複数のサーバ、および図1のLDAPフィルタリングデバイスが企業イントラネット内で実装され、インターネットを介して複数のコンピューティングデバイスからアクセス可能である環境を示す図である。 図1のLDAPフィルタリングデバイスが、複数のクライアントにLDAPディレクトリを提供するための専用サーバとして企業イントラネット内に実装された環境の図である。 LDAPを使用してネットワークを介してクライアントとサーバの間で通信されるトラフィックを管理するために、図1のLDAPフィルタモジュールが実行される例示的な実装での手順を示すフローチャートを表す図である。 LDAPフィルタモジュールによってインターセプトされた、許可されないLDAP動作の実施を求める要求が、要求によって指定された修正済みLDAP動作が許可されるように修正される例示的な実装での手順を示すフローチャートを表す図である。 ポリシーによって許可されないLDAP動作の実施によってもたらされた、LDAPフィルタモジュールによってインターセプトされる応答が、修正済みの応答がポリシーに適合するように修正される例示的な実装での手順を示すフローチャートを表す図である。 ポリシーに含めるためにユーザインターフェースを介して1つまたは複数のプロパティを選択することによって、ユーザがユーザインターフェースを介してポリシーを設計する例示的な実装での手順を示すフローチャートを表す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る例示的なユーザインターフェースのページを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る例示的なユーザインターフェースのページを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。 ポリシー構成のため図1のLDAPフィルタモジュールの実行によって出力され得る別の例示的なユーザインターフェースのページおよびダイアログボックスを示す図である。
符号の説明
102(n) クライアント
104(m) サーバ
108(n) プロセッサ
112(m) プロセッサ
110(n) メモリ
114(m) メモリ
116(m) LDAPディレクトリ
118(o) オブジェクト
120(n) LDAP通信モジュール
122(m) LDAP通信モジュール
124 LDAPフィルタモジュール
126 プロセッサ
128 メモリ
130 LDAPフィルタリングデバイス
132(1) ポリシー
132(p) ポリシー
132(P) ポリシー
136(1) LDAP動作
136(p) LDAP動作
136(P) LDAP動作
138 LDAP操作
140 LDAP操作
142 LDAPオブジェクト
144 その他

Claims (89)

  1. 複数のコンピューティングデバイス間で、軽量ディレクトリアクセスプロトコル(LDAP)を介した通信のためのデータを、前記コンピューティングデバイスのそれぞれが監視を認識しないように監視することと、
    1つまたは複数のポリシーに従って、前記データ内に指定されたLDAP動作が許可されるかどうか判断し、そうでない場合、前記LDAP動作の完了を制限することと
    を含むことを特徴とする方法。
  2. 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項1に記載の方法。
  3. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項2に記載の方法。
  4. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、請求されていないイベントとして構成されることを特徴とする請求項2に記載の方法。
  5. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、拡張LDAP操作を含むことを特徴とする請求項2に記載の方法。
  6. 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクト上で実施されることを許可されていない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項1に記載の方法。
  7. 前記判断することは、クライアントとして構成された少なくとも1つの前記コンピューティングデバイスによって認証レベルを実施することを含むことを特徴とする請求項1に記載の方法。
  8. 前記認証レベルは、前記複数のコンピューティングデバイス間の通信のための前記データによって満たされる認証の最低限のレベルであることを特徴とする請求項7に記載の方法。
  9. 前記判断することは、署名されたLDAPデータを許可するかどうか判断することを含むことを特徴とする請求項1に記載の方法。
  10. 前記判断することは、前記データが軽量ディレクトリアクセスプロトコル(LDAP)仕様に適合するかどうか判断することを含むことを特徴とする請求項1に記載の方法。
  11. 前記データが適合しない場合は、前記データを適合するように修正することをさらに含むことを特徴とする請求項10に記載の方法。
  12. 前記判断することは、前記データが既知の攻撃として構成されているかどうか判断することを含むことを特徴とする請求項1に記載の方法。
  13. 前記既知の攻撃は、NULLベースのクエリであることを特徴とする請求項12に記載の方法。
  14. 前記監視することは、軽量ディレクトリアクセスプロトコル(LDAP)サーバ部分とグローバルカタログの両方に対して作用するように実施されることを特徴とする請求項1に記載の方法。
  15. 前記判断することは、前記1つまたは複数のポリシーに従って、前記データ内に指定された前記動作が許可される場合は、前記動作の完了を許可することをさらに含むことを特徴とする請求項1に記載の方法。
  16. 少なくとも1つの前記コンピューティングデバイスはフロントエンドサーバであり、別の前記コンピューティングデバイスはバックエンドサーバであることを特徴とする請求項1に記載の方法。
  17. 軽量ディレクトリアクセスプロトコル(LDAP)動作は、前記データ内の要求内に指定され、
    前記動作が許可されない場合は、修正済みの前記要求が、許可されるLDAP動作を指定するように、前記要求を修正することをさらに含むことを特徴とする請求項1に記載の方法。
  18. 前記制限することは、前記軽量ディレクトリアクセスプロトコル(LDAP)動作を指定する要求が、LDAP動作を実施するように構成されたサーバに通信されることを防止することを含むことを特徴とする請求項1に記載の方法。
  19. 前記制限することは、前記軽量ディレクトリアクセスプロトコル(LDAP)動作の結果が、前記LDAP動作を実施するように構成されたサーバからクライアントに通信されることを防止することを含むことを特徴とする請求項1に記載の方法。
  20. コンピュータ上で実施されるときに、前記コンピュータに請求項1に記載の方法を実施するよう指示するコンピュータ実行可能命令を含むことを特徴とするコンピュータ読取り可能媒体。
  21. クライアントとサーバの間の通信のためのデータをインターセプトすることであって、前記データは軽量ディレクトリアクセスプロトコル(LDAP)に従って構成されることと、
    1つまたは複数のポリシーを前記要求に適用して、前記要求内に指定されたLDAP動作の実施が許可されるかどうか判断することと、
    前記実施が許可されない場合は、修正済みの前記LDAP動作の実施が許可されるように、前記LDAP動作を修正することと
    を含むことを特徴とする方法。
  22. 前記インターセプトすることおよび前記適用することは、前記サーバによって実施されることを特徴とする請求項21に記載の方法。
  23. 前記クライアントは、前記インターセプトすることおよび前記適用することの実施を認識しないことを特徴とする請求項21に記載の方法。
  24. 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項21に記載の方法。
  25. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項24に記載の方法。
  26. 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項21に記載の方法。
  27. 前記データは、
    前記LDAP動作の実施と、
    前記クライアントから前記サーバへの通信と
    を求める要求であることを特徴とする請求項21に記載の方法。
  28. 前記データは前記LDAP動作の実施の結果であり、また前記サーバから前記クライアントに通信するためのものであることを特徴とする請求項21に記載の方法。
  29. コンピュータ上で実施されるときに、前記コンピュータに請求項21に記載の方法を実施するよう指示するコンピュータ実行可能命令を含むことを特徴とするコンピュータ読取り可能媒体。
  30. 軽量ディレクトリアクセスプロトコル(LDAP)フィルタモジュールを実施して、
    応答がサーバからクライアントへの通信を許可されるかどうか判断することであって、
    前記応答は前記LDAPに従って構成され、
    前記判断は1つまたは複数のポリシーを使用して実施されることと、
    前記応答が許可される場合は、前記クライアントが前記判断を認識しないように前記応答を通信することと
    を含むことを特徴とする方法。
  31. 前記応答が許可されない場合は、修正済みの前記応答が許可されるように前記応答を修正することをさらに含むことを特徴とする請求項30に記載の方法。
  32. 前記応答は、軽量ディレクトリアクセスプロトコル(LDAP)動作の結果を含むことを特徴とする請求項30に記載の方法。
  33. 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項32に記載の方法。
  34. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項33に記載の方法。
  35. 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項30に記載の方法。
  36. コンピュータ上で実施されるときに、前記コンピュータに請求項30に記載の方法を実施するよう指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
  37. コンピュータ上で実施されるときに、複数のコンピューティングデバイス間でネットワークを介して通信される軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを、少なくとも1つの前記コンピューティングデバイスが前記管理を認識しないように透過的に管理するよう前記コンピュータに指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
  38. 前記軽量ディレクトリアクセスプロトコル(LDAP)トラフィックは、特定のLDAP操作を指定することを特徴とする請求項37に記載のコンピュータ読取り可能媒体。
  39. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項38に記載のコンピュータ読取り可能媒体。
  40. 前記軽量ディレクトリアクセスプロトコル(LDAP)トラフィックは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作をそのうちの少なくとも1つが指定する複数のポリシー従って透過的に管理されることを特徴とする請求項37に記載のコンピュータ読取り可能媒体。
  41. 軽量ディレクトリアクセスプロトコル(LDAP)に従って配列されたデータを含むディレクトリと、
    動作実施の要求を形成するために実行可能な1つまたは複数のアプリケーションであって、前記要求は、LDAPに従って、前記ディレクトリ内の前記データと対話するように構成される1つまたは複数のアプリケーションと、
    許可されるLDAP動作を定義する1つまたは複数のポリシーに従って前記1つまたは複数のアプリケーションと前記ディレクトリの間でトラフィックを管理するために実行可能なLDAPフィルタモジュールとを含むことを特徴とするシステム。
  42. 前記LDAPフィルタモジュールは、前記1つまたは複数のアプリケーションが前記トラフィックの前記管理を認識しないように実行可能であることを特徴とする請求項41に記載のシステム。
  43. 少なくとも1つの前記ポリシーは、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを特徴とする請求項41に記載のシステム。
  44. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項43に記載のシステム。
  45. 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対する特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを特徴とする請求項41に記載のシステム。
  46. 前記データベースは、第1のコンピューティングデバイスを介して使用可能であり、
    前記1つまたは複数のアプリケーションは、第2のコンピューティングデバイス上で実行可能であり、
    前記LDAPフィルタモジュールは、第3のコンピューティングデバイス上で実行可能であることを特徴とする請求項41に記載のシステム。
  47. 前記第3コンピューティングデバイスは、ネットワークフャイヤウォールデバイスとして構成されることを特徴とする請求項46に記載のシステム。
  48. プロセッサと、
    少なくとも1つの対応する軽量ディレクトリアクセスプロトコル(LDAP)操作を実施するための1つまたは複数の条件をそれぞれが定義する1つまたは複数のポリシーと、
    少なくとも1つの前記ポリシー従って、要求が許可されるかどうか判断し、
    前記要求が許可される場合は、前記クライアントが前記判断を認識しないように前記要求を通信するために、
    前記プロセッサ上で実行可能な1つまたは複数のモジュールを維持するように構成されたメモリと
    を備えることを特徴とするコンピューティングデバイス。
  49. 前記要求は、クライアントからサーバに通信するためのものであることを特徴とする請求項48に記載のコンピューティングデバイス。
  50. 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項48に記載のコンピューティングデバイス。
  51. 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対する特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうかさらに指定することを特徴とする請求項48に記載のコンピューティングデバイス。
  52. 前記1つまたは複数のモジュールは、前記要求が許可されない場合は、前記要求を修正するためにさらに実行可能であることを特徴とする請求項48に記載のコンピューティングデバイス。
  53. ネットワークファイヤウォールとして構成されることを特徴とする請求項48に記載のコンピューティングデバイス。
  54. 軽量ディレクトリアクセスプロトコル(LDAP)サーバとして構成されることを特徴とする請求項48に記載のコンピューティングデバイス。
  55. 特定の軽量ディレクトリアクセスプロトコル(LDAP)動作の実行が許可されるかどうか指定する、ユーザからの入力を受信するのに適したユーザインターフェースを公開することと、
    ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するために、前記入力に基づいてポリシーを構成することと
    を含むことを特徴とする方法。
  56. 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項55に記載の方法。
  57. 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項56に記載の方法。
  58. 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項55に記載の方法。
  59. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    1つまたは複数の前記説明は、クライアントを認証するために選択可能な複数の認証機構について説明することを特徴とする請求項55に記載の方法。
  60. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    1つまたは複数の前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)バインド操作時に使用されるために前記ユーザによって選択可能な複数の認証機構について説明することを特徴とする請求項55に記載の方法。
  61. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    1つまたは複数の前記説明は、前記ユーザによる選択によって定義され得る軽量ディレクトリアクセスプロトコル(LDAP)論理操作群について説明することを特徴とする請求項55に記載の方法。
  62. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    1つの前記説明は、暗号化されたLDAPトラフィックを許可するために選択可能であり、
    別の前記説明は、特定のLDAPポートを介したpingトラフィックだけを許可するために選択可能であることを特徴とする請求項55に記載の方法。
  63. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    少なくとも1つの前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリを使用して構成される応答内に含まれる照会情報を制御するために選択可能であることを特徴とする請求項55に記載の方法。
  64. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    少なくとも1つの前記説明は、セキュアソケットレイヤ(SSL)トラフィックを制御するために選択可能であることを特徴とする請求項55に記載の方法。
  65. 前記公開することは、
    前記ユーザインターフェースの前記出力は、ユーザによって選択可能な複数の説明を含み、
    少なくとも1つの前記説明は、どのバージョンの軽量ディレクトリアクセスプロトコル(LDAP)が許可されるかどうかを制御するために選択可能であることを特徴とする請求項55に記載の方法。
  66. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    少なくとも1つの前記説明は、許可される複数の認証レベルのうちの1つを選択するために選択可能であることを特徴とする請求項55に記載の方法。
  67. 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
    少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトへのアクセスを制御するために選択可能であることを特徴とする請求項55に記載の方法。
  68. コンピュータ上で実施されるときに、前記コンピュータに、請求項55に記載の方法を実施するよう指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
  69. コンピュータ上で実行されるときに、ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するためのポリシーを構成するためのユーザインターフェースを出力するよう前記コンピュータに指示するコンピュータ実行可能命令を含むコンピュータ読取り可能媒体であって、前記ユーザインターフェースは、出力されるときに、ユーザがLDAP操作の実施が許可されるかどうか示し、また特定のLDAPオブジェクトに対する特定のLDAP操作の実施が許可されるかどうか示すことを可能にするように構成されることを特徴とするコンピュータ読取り可能媒体。
  70. 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項69に記載のコンピュータ読取り可能媒体。
  71. 軽量ディレクトリアクセスプロトコルを使用したネットワーク上の許可されるトラフィックを定義するポリシーを構成するためのユーザインターフェースを出力するように構成された1つまたは複数のモジュールと、
    前記構成されたポリシーに従ってLDAPトラフィックを管理するように構成された少なくとも1つのモジュールと
    を含むことを特徴とするシステム。
  72. 前記少なくとも1つのモジュールは、ネットワークファイヤウォールデバイス上で実行可能であることを特徴とする請求項71に記載のシステム。
  73. 前記少なくとも1つのモジュールは、軽量ディレクトリアクセスプロトコル(LDAP)サーバ上で実行可能であることを特徴とする請求項71に記載のシステム。
  74. 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
  75. 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトとの対話が許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
  76. 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作が特定のLDAPオブジェクトに対して実施されることを許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
  77. プロセッサと、
    ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するためのポリシーを構成するためにユーザによって選択可能な複数の説明を含むユーザインターフェースを出力するために実行可能な1つまたは複数のモジュールを維持するように構成されたメモリと
    を備えることを特徴とするコンピューティングデバイス。
  78. 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  79. 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
    検索と、
    比較と、
    追加と、
    削除と、
    変更と、
    リネームと、
    バインドと、
    アンバインドと、
    中止とからなるグループから選択されることを特徴とする請求項78に記載のコンピューティングデバイス。
  80. 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトへのアクセスを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  81. 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作が特定のLDAPオブジェクトに対して実施されることを許可されるかどうか指定するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  82. 1つまたは複数の前記説明は、クライアントを認証するために選択可能な複数の認証機構について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
  83. 1つまたは複数の前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)バインド操作時に使用されるために前記ユーザによって選択可能な複数の認証機構について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
  84. 1つまたは複数の前記説明は、前記ユーザによる選択によって定義され得る軽量ディレクトリアクセスプロトコル(LDAP)論理操作群について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
  85. 1つの前記説明は、暗号化されたLDAPトラフィックを許可するために選択可能であり、
    別の前記説明は、特定のLDAPポートを介したpingトラフィックだけを許可するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  86. 少なくとも1つの前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリを使用して構成される応答内に含まれる照会情報を制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  87. 少なくとも1つの前記説明は、セキュアソケットレイヤ(SSL)トラフィックを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  88. 少なくとも1つの前記説明は、どのバージョンの軽量ディレクトリアクセスプロトコル(LDAP)が許可されるかどうかを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
  89. 少なくとも1つの前記説明は、複数の認証レベルのうちの1つを選択するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
JP2005297613A 2004-10-28 2005-10-12 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 Expired - Fee Related JP4880278B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10/975,292 US20060092948A1 (en) 2004-10-28 2004-10-28 Securing lightweight directory access protocol traffic
US10/975,292 2004-10-28
US10/997,433 2004-11-24
US10/997,433 US7577132B2 (en) 2004-10-28 2004-11-24 User interface for securing lightweight directory access protocol traffic

Publications (3)

Publication Number Publication Date
JP2006127504A true JP2006127504A (ja) 2006-05-18
JP2006127504A5 JP2006127504A5 (ja) 2008-11-27
JP4880278B2 JP4880278B2 (ja) 2012-02-22

Family

ID=35615608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005297613A Expired - Fee Related JP4880278B2 (ja) 2004-10-28 2005-10-12 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護

Country Status (5)

Country Link
US (1) US7577132B2 (ja)
EP (1) EP1653710B1 (ja)
JP (1) JP4880278B2 (ja)
KR (1) KR101213806B1 (ja)
AT (1) ATE519323T1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8745697B2 (en) 2007-03-19 2014-06-03 Ricoh Company, Limited Information processing apparatus and information processing method
JP2016531339A (ja) * 2013-06-20 2016-10-06 アマゾン テクノロジーズ インコーポレイテッド ポリシー強制遅延
JP2017503231A (ja) * 2013-11-11 2017-01-26 アマゾン テクノロジーズ インコーポレイテッド マネージドディレクトリサービスのための識別プールブリッジング

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862866B2 (en) 2003-07-07 2014-10-14 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US9124602B2 (en) 2007-01-05 2015-09-01 International Business Machines Corporation Method and apparatus for creating custom access control hierarchies
KR100807354B1 (ko) * 2007-07-04 2008-02-28 주식회사 넷츠 통합계정 관리를 위한 실시간 규칙그룹 지원장치
US8230455B2 (en) * 2007-07-11 2012-07-24 International Business Machines Corporation Method and system for enforcing password policy for an external bind operation in a distributed directory
US8156484B2 (en) * 2007-08-22 2012-04-10 International Business Machines Corporation LDAP server performance object creation and use thereof
US8224996B2 (en) * 2008-12-29 2012-07-17 International Business Machines Corporation Directory viewports
US8645401B2 (en) * 2009-08-13 2014-02-04 Cox Communications, Inc. Technical electronic discovery action model
US8516138B2 (en) 2010-08-31 2013-08-20 International Business Machines Corporation Multiple authentication support in a shared environment
WO2012044821A2 (en) * 2010-09-30 2012-04-05 Saudi Arabian Oil Company System and method for controlling access to a plant network
US9838351B2 (en) 2011-02-04 2017-12-05 NextPlane, Inc. Method and system for federation of proxy-based and proxy-free communications systems
US9077726B2 (en) 2011-03-31 2015-07-07 NextPlane, Inc. Hub based clearing house for interoperability of distinct unified communication systems
US9716619B2 (en) 2011-03-31 2017-07-25 NextPlane, Inc. System and method of processing media traffic for a hub-based system federating disparate unified communications systems
US9203799B2 (en) 2011-03-31 2015-12-01 NextPlane, Inc. Method and system for advanced alias domain routing
US9407663B1 (en) * 2011-09-28 2016-08-02 Emc Corporation Method and apparatus for man-in-the-middle agent-assisted client filtering
WO2013063721A1 (en) * 2011-11-03 2013-05-10 Telefonaktiebolaget L M Ericsson (Publ) Method, device and central server for providing service for ldap client
US8898796B2 (en) 2012-02-14 2014-11-25 International Business Machines Corporation Managing network data
US9705840B2 (en) 2013-06-03 2017-07-11 NextPlane, Inc. Automation platform for hub-based system federating disparate unified communications systems
US9819636B2 (en) * 2013-06-10 2017-11-14 NextPlane, Inc. User directory system for a hub-based system federating disparate unified communications systems
US9785669B2 (en) 2014-05-21 2017-10-10 International Business Machines Corporation Revising policy statements using hyperlinks
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
US10250596B2 (en) * 2016-06-29 2019-04-02 International Business Machines Corporation Monitoring encrypted communication sessions
US11310192B1 (en) * 2019-12-20 2022-04-19 Stealthbits Technologies Llc Systems and methods for second protocol communication over LDAP

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002207694A (ja) * 2001-01-05 2002-07-26 Nec Corp 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体
JP2003515806A (ja) * 1999-11-22 2003-05-07 ネットスケープ コミュニケーションズ コーポレーション 簡略化ldapアクセス制御言語システム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418731B2 (en) 1997-11-06 2008-08-26 Finjan Software, Ltd. Method and system for caching at secure gateways
US6154776A (en) * 1998-03-20 2000-11-28 Sun Microsystems, Inc. Quality of service allocation on a network
US6263362B1 (en) * 1998-09-01 2001-07-17 Bigfix, Inc. Inspector for computed relevance messaging
US6680942B2 (en) * 1999-07-02 2004-01-20 Cisco Technology, Inc. Directory services caching for network peer to peer service locator
US6567857B1 (en) 1999-07-29 2003-05-20 Sun Microsystems, Inc. Method and apparatus for dynamic proxy insertion in network traffic flow
US6622170B1 (en) * 1999-09-10 2003-09-16 International Business Machines Corporation System and method for DEN/LDAP client database access with a backoff capability
EP1113648A3 (en) 1999-12-30 2003-07-09 Nortel Networks Corporation Generic registration of plug-ins for a directory server
US6665674B1 (en) 2000-02-02 2003-12-16 Nortel Networks Limited Framework for open directory operation extensibility
US6609121B1 (en) 2000-07-17 2003-08-19 International Business Machines Corporation Lightweight directory access protocol interface to directory assistance systems
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
US7002973B2 (en) * 2000-12-11 2006-02-21 Acme Packet Inc. System and method for assisting in controlling real-time transport protocol flow through multiple networks via use of a cluster of session routers
US20020124057A1 (en) 2001-03-05 2002-09-05 Diego Besprosvan Unified communications system
US6732105B1 (en) 2001-07-27 2004-05-04 Palmone, Inc. Secure authentication proxy architecture for a web-based wireless intranet application
US7398314B2 (en) 2001-08-08 2008-07-08 Flash Networks Ltd System and a method for accelerating communication of TCP/IP based content through the use of fake host names
US7035846B2 (en) 2002-09-23 2006-04-25 International Business Machines Corporation Methods, computer programs and apparatus for caching directory queries
US20040167859A1 (en) 2003-02-14 2004-08-26 Richard Mirabella Software license management system configurable for post-use payment business models
US20040215775A1 (en) 2003-04-24 2004-10-28 Bookfactory, Llc, A California Limited Liability Corporation System, method and computer program product for network resource processing
US8880893B2 (en) 2003-09-26 2014-11-04 Ibm International Group B.V. Enterprise information asset protection through insider attack specification, monitoring and mitigation
US20050091343A1 (en) 2003-10-22 2005-04-28 Bookfactory, Llc System, method and computer program product for network resource processing
US7620630B2 (en) 2003-11-12 2009-11-17 Oliver Lloyd Pty Ltd Directory system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003515806A (ja) * 1999-11-22 2003-05-07 ネットスケープ コミュニケーションズ コーポレーション 簡略化ldapアクセス制御言語システム
JP2002207694A (ja) * 2001-01-05 2002-07-26 Nec Corp 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8745697B2 (en) 2007-03-19 2014-06-03 Ricoh Company, Limited Information processing apparatus and information processing method
JP2016531339A (ja) * 2013-06-20 2016-10-06 アマゾン テクノロジーズ インコーポレイテッド ポリシー強制遅延
US10387683B2 (en) 2013-06-20 2019-08-20 Amazon Technologies, Inc. Policy enforcement delays
JP2017503231A (ja) * 2013-11-11 2017-01-26 アマゾン テクノロジーズ インコーポレイテッド マネージドディレクトリサービスのための識別プールブリッジング

Also Published As

Publication number Publication date
EP1653710A1 (en) 2006-05-03
US7577132B2 (en) 2009-08-18
ATE519323T1 (de) 2011-08-15
KR20060049122A (ko) 2006-05-18
US20060168255A1 (en) 2006-07-27
EP1653710B1 (en) 2011-08-03
KR101213806B1 (ko) 2012-12-18
JP4880278B2 (ja) 2012-02-22

Similar Documents

Publication Publication Date Title
JP4880278B2 (ja) 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護
US8661505B2 (en) Policy evaluation in controlled environment
US7694343B2 (en) Client compliancy in a NAT environment
US7634803B2 (en) Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework
US8806581B2 (en) Secure launching of browser from privileged process
US20120131646A1 (en) Role-based access control limited by application and hostname
US9384359B2 (en) Information firewall
US20040267749A1 (en) Resource name interface for managing policy resources
US9886590B2 (en) Techniques for enforcing application environment based security policies using role based access control
EP1910970A2 (en) Segmented network identity management
US20040073668A1 (en) Policy delegation for access control
KR20050062368A (ko) 방화벽 서비스 관리를 위한 객체 모델
JP2012146317A (ja) ネットワーク・セキュリティ・システムおよび方法
JP2009151751A (ja) 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム
US20100031317A1 (en) Secure access
CN1822590A (zh) 保护轻量级目录访问协议的通信
US20040236760A1 (en) Systems and methods for extending a management console across applications
US20030088648A1 (en) Supporting access control checks in a directory server using a chaining backend method
US20060005234A1 (en) Method and apparatus for handling custom token propagation without Java serialization
US20080256603A1 (en) Method and system for securing a commercial grid network
Bindiganavale et al. Role based access control in enterprise application-security administration and user management
O'Leary et al. Attacking the Windows Domain
EP3674933A1 (en) System and method of changing the password of an account record under a threat of unlawful access to user data
CN118118238A (zh) 访问权限的验证方法及装置
CN118056380A (zh) 在计算机网络之内限制横向遍历

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081014

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110722

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111201

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4880278

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141209

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees