JP2006127504A - 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 - Google Patents
軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 Download PDFInfo
- Publication number
- JP2006127504A JP2006127504A JP2005297613A JP2005297613A JP2006127504A JP 2006127504 A JP2006127504 A JP 2006127504A JP 2005297613 A JP2005297613 A JP 2005297613A JP 2005297613 A JP2005297613 A JP 2005297613A JP 2006127504 A JP2006127504 A JP 2006127504A
- Authority
- JP
- Japan
- Prior art keywords
- ldap
- access protocol
- directory access
- lightweight directory
- allowed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】方法は、クライアントとサーバの間の通信のために、軽量ディレクトリアクセスプロトコル(LDAP)に従って構成されたデータをインターセプトすることを含む。データ内に指定されたLDAP動作の実施が許可されるかどうか判断するために、1つまたは複数のポリシーがデータに適用される。実施が許可されない場合は、LDAP動作は、修正済みのLDAP動作の実施が許可されるように修正される。
【選択図】図4
Description
次の議論では、上述のシステムおよびデバイスを使用して実装され得る、LDAPトラフィックを管理する技術について述べる。各手順の側面は、ハードウェア、ファームウェアまたはソフトウェア、あるいはその組合せで実装され得る。手順は、1つまたは複数のデバイスによって実施される操作を指定する1組のブロックとして示されており、また個々のブロックによる諸操作を実施するために示される順序に必ずしも限定されない。以下の例示的な諸手順は、その精神および範囲から逸脱せずに、多種多様な他の環境内で実装され得ることに留意されたい。
図8から20は、図1から7のLDAPフィルタモジュール124によって出力され得るユーザインターフェースの例示的な実装を示す図である。このユーザインターフェースは、どのLDAP動作が許可され、または許可されないかを選択するなど、ポリシーを構成するためのユーザによるプロパティ選択の様々な技術を提供し得る。たとえば、ユーザインターフェースは、ポリシーをそれに応じて構成させるためにユーザによって選択されることができる、LDAP機能についての複数の説明を提供し得る。たとえば、図8に示すように、ユーザインターフェースは、LDAPバインド操作時に使用され得る複数の認証機構を表す「認証」ページ800を含み得る。ユーザは、(マウスなどの)カーソル制御デバイスで対応するボックスを「チェック」することによって、認証機構のうちの1つまたは複数を選択し得る。したがって、対応するポリシーは、認証機構のうちのどれがユーザによって選択されたかに基づいて構成され得る。
2)(ベースDN、直接の子のリスト、サブツリー内の各オブジェクトなど)規則が適用されるアクセス範囲、および
3)要求されたプロパティリスト
この規則は、「最初の一致」が勝るように順序付けされ得る。検索操作に一致する規則がない場合、既定値によって、アクセスが拒否され得る。
本発明について、構造上の特徴および/または方法論的な行為に特有の言語で述べたが、添付の特許請求の範囲中に定義される本発明は、上述の特定の特徴または行為に必ずしも限定されないことを理解されたい。そうではなく、特定の特徴および行為は、特許請求の範囲中に記載された本発明を実施する例示的な形として開示されている。
104(m) サーバ
108(n) プロセッサ
112(m) プロセッサ
110(n) メモリ
114(m) メモリ
116(m) LDAPディレクトリ
118(o) オブジェクト
120(n) LDAP通信モジュール
122(m) LDAP通信モジュール
124 LDAPフィルタモジュール
126 プロセッサ
128 メモリ
130 LDAPフィルタリングデバイス
132(1) ポリシー
132(p) ポリシー
132(P) ポリシー
136(1) LDAP動作
136(p) LDAP動作
136(P) LDAP動作
138 LDAP操作
140 LDAP操作
142 LDAPオブジェクト
144 その他
Claims (89)
- 複数のコンピューティングデバイス間で、軽量ディレクトリアクセスプロトコル(LDAP)を介した通信のためのデータを、前記コンピューティングデバイスのそれぞれが監視を認識しないように監視することと、
1つまたは複数のポリシーに従って、前記データ内に指定されたLDAP動作が許可されるかどうか判断し、そうでない場合、前記LDAP動作の完了を制限することと
を含むことを特徴とする方法。 - 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項1に記載の方法。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項2に記載の方法。 - 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、請求されていないイベントとして構成されることを特徴とする請求項2に記載の方法。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、拡張LDAP操作を含むことを特徴とする請求項2に記載の方法。
- 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクト上で実施されることを許可されていない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項1に記載の方法。
- 前記判断することは、クライアントとして構成された少なくとも1つの前記コンピューティングデバイスによって認証レベルを実施することを含むことを特徴とする請求項1に記載の方法。
- 前記認証レベルは、前記複数のコンピューティングデバイス間の通信のための前記データによって満たされる認証の最低限のレベルであることを特徴とする請求項7に記載の方法。
- 前記判断することは、署名されたLDAPデータを許可するかどうか判断することを含むことを特徴とする請求項1に記載の方法。
- 前記判断することは、前記データが軽量ディレクトリアクセスプロトコル(LDAP)仕様に適合するかどうか判断することを含むことを特徴とする請求項1に記載の方法。
- 前記データが適合しない場合は、前記データを適合するように修正することをさらに含むことを特徴とする請求項10に記載の方法。
- 前記判断することは、前記データが既知の攻撃として構成されているかどうか判断することを含むことを特徴とする請求項1に記載の方法。
- 前記既知の攻撃は、NULLベースのクエリであることを特徴とする請求項12に記載の方法。
- 前記監視することは、軽量ディレクトリアクセスプロトコル(LDAP)サーバ部分とグローバルカタログの両方に対して作用するように実施されることを特徴とする請求項1に記載の方法。
- 前記判断することは、前記1つまたは複数のポリシーに従って、前記データ内に指定された前記動作が許可される場合は、前記動作の完了を許可することをさらに含むことを特徴とする請求項1に記載の方法。
- 少なくとも1つの前記コンピューティングデバイスはフロントエンドサーバであり、別の前記コンピューティングデバイスはバックエンドサーバであることを特徴とする請求項1に記載の方法。
- 軽量ディレクトリアクセスプロトコル(LDAP)動作は、前記データ内の要求内に指定され、
前記動作が許可されない場合は、修正済みの前記要求が、許可されるLDAP動作を指定するように、前記要求を修正することをさらに含むことを特徴とする請求項1に記載の方法。 - 前記制限することは、前記軽量ディレクトリアクセスプロトコル(LDAP)動作を指定する要求が、LDAP動作を実施するように構成されたサーバに通信されることを防止することを含むことを特徴とする請求項1に記載の方法。
- 前記制限することは、前記軽量ディレクトリアクセスプロトコル(LDAP)動作の結果が、前記LDAP動作を実施するように構成されたサーバからクライアントに通信されることを防止することを含むことを特徴とする請求項1に記載の方法。
- コンピュータ上で実施されるときに、前記コンピュータに請求項1に記載の方法を実施するよう指示するコンピュータ実行可能命令を含むことを特徴とするコンピュータ読取り可能媒体。
- クライアントとサーバの間の通信のためのデータをインターセプトすることであって、前記データは軽量ディレクトリアクセスプロトコル(LDAP)に従って構成されることと、
1つまたは複数のポリシーを前記要求に適用して、前記要求内に指定されたLDAP動作の実施が許可されるかどうか判断することと、
前記実施が許可されない場合は、修正済みの前記LDAP動作の実施が許可されるように、前記LDAP動作を修正することと
を含むことを特徴とする方法。 - 前記インターセプトすることおよび前記適用することは、前記サーバによって実施されることを特徴とする請求項21に記載の方法。
- 前記クライアントは、前記インターセプトすることおよび前記適用することの実施を認識しないことを特徴とする請求項21に記載の方法。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項21に記載の方法。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項24に記載の方法。 - 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項21に記載の方法。
- 前記データは、
前記LDAP動作の実施と、
前記クライアントから前記サーバへの通信と
を求める要求であることを特徴とする請求項21に記載の方法。 - 前記データは前記LDAP動作の実施の結果であり、また前記サーバから前記クライアントに通信するためのものであることを特徴とする請求項21に記載の方法。
- コンピュータ上で実施されるときに、前記コンピュータに請求項21に記載の方法を実施するよう指示するコンピュータ実行可能命令を含むことを特徴とするコンピュータ読取り可能媒体。
- 軽量ディレクトリアクセスプロトコル(LDAP)フィルタモジュールを実施して、
応答がサーバからクライアントへの通信を許可されるかどうか判断することであって、
前記応答は前記LDAPに従って構成され、
前記判断は1つまたは複数のポリシーを使用して実施されることと、
前記応答が許可される場合は、前記クライアントが前記判断を認識しないように前記応答を通信することと
を含むことを特徴とする方法。 - 前記応答が許可されない場合は、修正済みの前記応答が許可されるように前記応答を修正することをさらに含むことを特徴とする請求項30に記載の方法。
- 前記応答は、軽量ディレクトリアクセスプロトコル(LDAP)動作の結果を含むことを特徴とする請求項30に記載の方法。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項32に記載の方法。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項33に記載の方法。 - 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項30に記載の方法。
- コンピュータ上で実施されるときに、前記コンピュータに請求項30に記載の方法を実施するよう指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
- コンピュータ上で実施されるときに、複数のコンピューティングデバイス間でネットワークを介して通信される軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを、少なくとも1つの前記コンピューティングデバイスが前記管理を認識しないように透過的に管理するよう前記コンピュータに指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)トラフィックは、特定のLDAP操作を指定することを特徴とする請求項37に記載のコンピュータ読取り可能媒体。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項38に記載のコンピュータ読取り可能媒体。 - 前記軽量ディレクトリアクセスプロトコル(LDAP)トラフィックは、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作をそのうちの少なくとも1つが指定する複数のポリシー従って透過的に管理されることを特徴とする請求項37に記載のコンピュータ読取り可能媒体。
- 軽量ディレクトリアクセスプロトコル(LDAP)に従って配列されたデータを含むディレクトリと、
動作実施の要求を形成するために実行可能な1つまたは複数のアプリケーションであって、前記要求は、LDAPに従って、前記ディレクトリ内の前記データと対話するように構成される1つまたは複数のアプリケーションと、
許可されるLDAP動作を定義する1つまたは複数のポリシーに従って前記1つまたは複数のアプリケーションと前記ディレクトリの間でトラフィックを管理するために実行可能なLDAPフィルタモジュールとを含むことを特徴とするシステム。 - 前記LDAPフィルタモジュールは、前記1つまたは複数のアプリケーションが前記トラフィックの前記管理を認識しないように実行可能であることを特徴とする請求項41に記載のシステム。
- 少なくとも1つの前記ポリシーは、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを特徴とする請求項41に記載のシステム。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項43に記載のシステム。 - 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対する特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを特徴とする請求項41に記載のシステム。
- 前記データベースは、第1のコンピューティングデバイスを介して使用可能であり、
前記1つまたは複数のアプリケーションは、第2のコンピューティングデバイス上で実行可能であり、
前記LDAPフィルタモジュールは、第3のコンピューティングデバイス上で実行可能であることを特徴とする請求項41に記載のシステム。 - 前記第3コンピューティングデバイスは、ネットワークフャイヤウォールデバイスとして構成されることを特徴とする請求項46に記載のシステム。
- プロセッサと、
少なくとも1つの対応する軽量ディレクトリアクセスプロトコル(LDAP)操作を実施するための1つまたは複数の条件をそれぞれが定義する1つまたは複数のポリシーと、
少なくとも1つの前記ポリシー従って、要求が許可されるかどうか判断し、
前記要求が許可される場合は、前記クライアントが前記判断を認識しないように前記要求を通信するために、
前記プロセッサ上で実行可能な1つまたは複数のモジュールを維持するように構成されたメモリと
を備えることを特徴とするコンピューティングデバイス。 - 前記要求は、クライアントからサーバに通信するためのものであることを特徴とする請求項48に記載のコンピューティングデバイス。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項48に記載のコンピューティングデバイス。 - 少なくとも1つの前記ポリシーは、特定のLDAPオブジェクトに対する特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうかさらに指定することを特徴とする請求項48に記載のコンピューティングデバイス。
- 前記1つまたは複数のモジュールは、前記要求が許可されない場合は、前記要求を修正するためにさらに実行可能であることを特徴とする請求項48に記載のコンピューティングデバイス。
- ネットワークファイヤウォールとして構成されることを特徴とする請求項48に記載のコンピューティングデバイス。
- 軽量ディレクトリアクセスプロトコル(LDAP)サーバとして構成されることを特徴とする請求項48に記載のコンピューティングデバイス。
- 特定の軽量ディレクトリアクセスプロトコル(LDAP)動作の実行が許可されるかどうか指定する、ユーザからの入力を受信するのに適したユーザインターフェースを公開することと、
ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するために、前記入力に基づいてポリシーを構成することと
を含むことを特徴とする方法。 - 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAP操作を指定することを特徴とする請求項55に記載の方法。
- 前記特定の軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項56に記載の方法。 - 前記軽量ディレクトリアクセスプロトコル(LDAP)動作は、特定のLDAPオブジェクトに対して実施されることを許可されない特定の軽量ディレクトリアクセスプロトコル(LDAP)操作を指定することを特徴とする請求項55に記載の方法。
- 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
1つまたは複数の前記説明は、クライアントを認証するために選択可能な複数の認証機構について説明することを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
1つまたは複数の前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)バインド操作時に使用されるために前記ユーザによって選択可能な複数の認証機構について説明することを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
1つまたは複数の前記説明は、前記ユーザによる選択によって定義され得る軽量ディレクトリアクセスプロトコル(LDAP)論理操作群について説明することを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
1つの前記説明は、暗号化されたLDAPトラフィックを許可するために選択可能であり、
別の前記説明は、特定のLDAPポートを介したpingトラフィックだけを許可するために選択可能であることを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
少なくとも1つの前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリを使用して構成される応答内に含まれる照会情報を制御するために選択可能であることを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
少なくとも1つの前記説明は、セキュアソケットレイヤ(SSL)トラフィックを制御するために選択可能であることを特徴とする請求項55に記載の方法。 - 前記公開することは、
前記ユーザインターフェースの前記出力は、ユーザによって選択可能な複数の説明を含み、
少なくとも1つの前記説明は、どのバージョンの軽量ディレクトリアクセスプロトコル(LDAP)が許可されるかどうかを制御するために選択可能であることを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
少なくとも1つの前記説明は、許可される複数の認証レベルのうちの1つを選択するために選択可能であることを特徴とする請求項55に記載の方法。 - 前記ユーザインターフェースの前記公開は、ユーザによって選択可能な複数の説明を含み、
少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトへのアクセスを制御するために選択可能であることを特徴とする請求項55に記載の方法。 - コンピュータ上で実施されるときに、前記コンピュータに、請求項55に記載の方法を実施するよう指示するコンピュータ実行可能命令を備えることを特徴とするコンピュータ読取り可能媒体。
- コンピュータ上で実行されるときに、ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するためのポリシーを構成するためのユーザインターフェースを出力するよう前記コンピュータに指示するコンピュータ実行可能命令を含むコンピュータ読取り可能媒体であって、前記ユーザインターフェースは、出力されるときに、ユーザがLDAP操作の実施が許可されるかどうか示し、また特定のLDAPオブジェクトに対する特定のLDAP操作の実施が許可されるかどうか示すことを可能にするように構成されることを特徴とするコンピュータ読取り可能媒体。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項69に記載のコンピュータ読取り可能媒体。 - 軽量ディレクトリアクセスプロトコルを使用したネットワーク上の許可されるトラフィックを定義するポリシーを構成するためのユーザインターフェースを出力するように構成された1つまたは複数のモジュールと、
前記構成されたポリシーに従ってLDAPトラフィックを管理するように構成された少なくとも1つのモジュールと
を含むことを特徴とするシステム。 - 前記少なくとも1つのモジュールは、ネットワークファイヤウォールデバイス上で実行可能であることを特徴とする請求項71に記載のシステム。
- 前記少なくとも1つのモジュールは、軽量ディレクトリアクセスプロトコル(LDAP)サーバ上で実行可能であることを特徴とする請求項71に記載のシステム。
- 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
- 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトとの対話が許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
- 前記ユーザインターフェースは、ユーザが、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作が特定のLDAPオブジェクトに対して実施されることを許可されるかどうか指定することを可能にするように構成されることを特徴とする請求項71に記載のシステム。
- プロセッサと、
ネットワーク上で軽量ディレクトリアクセスプロトコル(LDAP)トラフィックを管理するためのポリシーを構成するためにユーザによって選択可能な複数の説明を含むユーザインターフェースを出力するために実行可能な1つまたは複数のモジュールを維持するように構成されたメモリと
を備えることを特徴とするコンピューティングデバイス。 - 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作の実施が許可されるかどうか指定するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 前記軽量ディレクトリアクセスプロトコル(LDAP)操作は、
検索と、
比較と、
追加と、
削除と、
変更と、
リネームと、
バインドと、
アンバインドと、
中止とからなるグループから選択されることを特徴とする請求項78に記載のコンピューティングデバイス。 - 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)オブジェクトへのアクセスを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 少なくとも1つの前記説明は、特定の軽量ディレクトリアクセスプロトコル(LDAP)操作が特定のLDAPオブジェクトに対して実施されることを許可されるかどうか指定するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 1つまたは複数の前記説明は、クライアントを認証するために選択可能な複数の認証機構について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
- 1つまたは複数の前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)バインド操作時に使用されるために前記ユーザによって選択可能な複数の認証機構について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
- 1つまたは複数の前記説明は、前記ユーザによる選択によって定義され得る軽量ディレクトリアクセスプロトコル(LDAP)論理操作群について説明することを特徴とする請求項77に記載のコンピューティングデバイス。
- 1つの前記説明は、暗号化されたLDAPトラフィックを許可するために選択可能であり、
別の前記説明は、特定のLDAPポートを介したpingトラフィックだけを許可するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。 - 少なくとも1つの前記説明は、軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリを使用して構成される応答内に含まれる照会情報を制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 少なくとも1つの前記説明は、セキュアソケットレイヤ(SSL)トラフィックを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 少なくとも1つの前記説明は、どのバージョンの軽量ディレクトリアクセスプロトコル(LDAP)が許可されるかどうかを制御するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
- 少なくとも1つの前記説明は、複数の認証レベルのうちの1つを選択するために選択可能であることを特徴とする請求項77に記載のコンピューティングデバイス。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/975,292 US20060092948A1 (en) | 2004-10-28 | 2004-10-28 | Securing lightweight directory access protocol traffic |
US10/975,292 | 2004-10-28 | ||
US10/997,433 | 2004-11-24 | ||
US10/997,433 US7577132B2 (en) | 2004-10-28 | 2004-11-24 | User interface for securing lightweight directory access protocol traffic |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006127504A true JP2006127504A (ja) | 2006-05-18 |
JP2006127504A5 JP2006127504A5 (ja) | 2008-11-27 |
JP4880278B2 JP4880278B2 (ja) | 2012-02-22 |
Family
ID=35615608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005297613A Expired - Fee Related JP4880278B2 (ja) | 2004-10-28 | 2005-10-12 | 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7577132B2 (ja) |
EP (1) | EP1653710B1 (ja) |
JP (1) | JP4880278B2 (ja) |
KR (1) | KR101213806B1 (ja) |
AT (1) | ATE519323T1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745697B2 (en) | 2007-03-19 | 2014-06-03 | Ricoh Company, Limited | Information processing apparatus and information processing method |
JP2016531339A (ja) * | 2013-06-20 | 2016-10-06 | アマゾン テクノロジーズ インコーポレイテッド | ポリシー強制遅延 |
JP2017503231A (ja) * | 2013-11-11 | 2017-01-26 | アマゾン テクノロジーズ インコーポレイテッド | マネージドディレクトリサービスのための識別プールブリッジング |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8862866B2 (en) | 2003-07-07 | 2014-10-14 | Certicom Corp. | Method and apparatus for providing an adaptable security level in an electronic communication |
GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
US9124602B2 (en) | 2007-01-05 | 2015-09-01 | International Business Machines Corporation | Method and apparatus for creating custom access control hierarchies |
KR100807354B1 (ko) * | 2007-07-04 | 2008-02-28 | 주식회사 넷츠 | 통합계정 관리를 위한 실시간 규칙그룹 지원장치 |
US8230455B2 (en) * | 2007-07-11 | 2012-07-24 | International Business Machines Corporation | Method and system for enforcing password policy for an external bind operation in a distributed directory |
US8156484B2 (en) * | 2007-08-22 | 2012-04-10 | International Business Machines Corporation | LDAP server performance object creation and use thereof |
US8224996B2 (en) * | 2008-12-29 | 2012-07-17 | International Business Machines Corporation | Directory viewports |
US8645401B2 (en) * | 2009-08-13 | 2014-02-04 | Cox Communications, Inc. | Technical electronic discovery action model |
US8516138B2 (en) | 2010-08-31 | 2013-08-20 | International Business Machines Corporation | Multiple authentication support in a shared environment |
WO2012044821A2 (en) * | 2010-09-30 | 2012-04-05 | Saudi Arabian Oil Company | System and method for controlling access to a plant network |
US9838351B2 (en) | 2011-02-04 | 2017-12-05 | NextPlane, Inc. | Method and system for federation of proxy-based and proxy-free communications systems |
US9077726B2 (en) | 2011-03-31 | 2015-07-07 | NextPlane, Inc. | Hub based clearing house for interoperability of distinct unified communication systems |
US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
US9203799B2 (en) | 2011-03-31 | 2015-12-01 | NextPlane, Inc. | Method and system for advanced alias domain routing |
US9407663B1 (en) * | 2011-09-28 | 2016-08-02 | Emc Corporation | Method and apparatus for man-in-the-middle agent-assisted client filtering |
WO2013063721A1 (en) * | 2011-11-03 | 2013-05-10 | Telefonaktiebolaget L M Ericsson (Publ) | Method, device and central server for providing service for ldap client |
US8898796B2 (en) | 2012-02-14 | 2014-11-25 | International Business Machines Corporation | Managing network data |
US9705840B2 (en) | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
US9819636B2 (en) * | 2013-06-10 | 2017-11-14 | NextPlane, Inc. | User directory system for a hub-based system federating disparate unified communications systems |
US9785669B2 (en) | 2014-05-21 | 2017-10-10 | International Business Machines Corporation | Revising policy statements using hyperlinks |
US10015162B2 (en) * | 2015-05-11 | 2018-07-03 | Huawei Technologies Co., Ltd. | Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests |
US10250596B2 (en) * | 2016-06-29 | 2019-04-02 | International Business Machines Corporation | Monitoring encrypted communication sessions |
US11310192B1 (en) * | 2019-12-20 | 2022-04-19 | Stealthbits Technologies Llc | Systems and methods for second protocol communication over LDAP |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002207694A (ja) * | 2001-01-05 | 2002-07-26 | Nec Corp | 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体 |
JP2003515806A (ja) * | 1999-11-22 | 2003-05-07 | ネットスケープ コミュニケーションズ コーポレーション | 簡略化ldapアクセス制御言語システム |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7418731B2 (en) | 1997-11-06 | 2008-08-26 | Finjan Software, Ltd. | Method and system for caching at secure gateways |
US6154776A (en) * | 1998-03-20 | 2000-11-28 | Sun Microsystems, Inc. | Quality of service allocation on a network |
US6263362B1 (en) * | 1998-09-01 | 2001-07-17 | Bigfix, Inc. | Inspector for computed relevance messaging |
US6680942B2 (en) * | 1999-07-02 | 2004-01-20 | Cisco Technology, Inc. | Directory services caching for network peer to peer service locator |
US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
US6622170B1 (en) * | 1999-09-10 | 2003-09-16 | International Business Machines Corporation | System and method for DEN/LDAP client database access with a backoff capability |
EP1113648A3 (en) | 1999-12-30 | 2003-07-09 | Nortel Networks Corporation | Generic registration of plug-ins for a directory server |
US6665674B1 (en) | 2000-02-02 | 2003-12-16 | Nortel Networks Limited | Framework for open directory operation extensibility |
US6609121B1 (en) | 2000-07-17 | 2003-08-19 | International Business Machines Corporation | Lightweight directory access protocol interface to directory assistance systems |
US6799197B1 (en) * | 2000-08-29 | 2004-09-28 | Networks Associates Technology, Inc. | Secure method and system for using a public network or email to administer to software on a plurality of client computers |
US7002973B2 (en) * | 2000-12-11 | 2006-02-21 | Acme Packet Inc. | System and method for assisting in controlling real-time transport protocol flow through multiple networks via use of a cluster of session routers |
US20020124057A1 (en) | 2001-03-05 | 2002-09-05 | Diego Besprosvan | Unified communications system |
US6732105B1 (en) | 2001-07-27 | 2004-05-04 | Palmone, Inc. | Secure authentication proxy architecture for a web-based wireless intranet application |
US7398314B2 (en) | 2001-08-08 | 2008-07-08 | Flash Networks Ltd | System and a method for accelerating communication of TCP/IP based content through the use of fake host names |
US7035846B2 (en) | 2002-09-23 | 2006-04-25 | International Business Machines Corporation | Methods, computer programs and apparatus for caching directory queries |
US20040167859A1 (en) | 2003-02-14 | 2004-08-26 | Richard Mirabella | Software license management system configurable for post-use payment business models |
US20040215775A1 (en) | 2003-04-24 | 2004-10-28 | Bookfactory, Llc, A California Limited Liability Corporation | System, method and computer program product for network resource processing |
US8880893B2 (en) | 2003-09-26 | 2014-11-04 | Ibm International Group B.V. | Enterprise information asset protection through insider attack specification, monitoring and mitigation |
US20050091343A1 (en) | 2003-10-22 | 2005-04-28 | Bookfactory, Llc | System, method and computer program product for network resource processing |
US7620630B2 (en) | 2003-11-12 | 2009-11-17 | Oliver Lloyd Pty Ltd | Directory system |
-
2004
- 2004-11-24 US US10/997,433 patent/US7577132B2/en active Active
-
2005
- 2005-10-12 JP JP2005297613A patent/JP4880278B2/ja not_active Expired - Fee Related
- 2005-10-12 EP EP05109476A patent/EP1653710B1/en active Active
- 2005-10-12 AT AT05109476T patent/ATE519323T1/de not_active IP Right Cessation
- 2005-10-21 KR KR1020050099590A patent/KR101213806B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003515806A (ja) * | 1999-11-22 | 2003-05-07 | ネットスケープ コミュニケーションズ コーポレーション | 簡略化ldapアクセス制御言語システム |
JP2002207694A (ja) * | 2001-01-05 | 2002-07-26 | Nec Corp | 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745697B2 (en) | 2007-03-19 | 2014-06-03 | Ricoh Company, Limited | Information processing apparatus and information processing method |
JP2016531339A (ja) * | 2013-06-20 | 2016-10-06 | アマゾン テクノロジーズ インコーポレイテッド | ポリシー強制遅延 |
US10387683B2 (en) | 2013-06-20 | 2019-08-20 | Amazon Technologies, Inc. | Policy enforcement delays |
JP2017503231A (ja) * | 2013-11-11 | 2017-01-26 | アマゾン テクノロジーズ インコーポレイテッド | マネージドディレクトリサービスのための識別プールブリッジング |
Also Published As
Publication number | Publication date |
---|---|
EP1653710A1 (en) | 2006-05-03 |
US7577132B2 (en) | 2009-08-18 |
ATE519323T1 (de) | 2011-08-15 |
KR20060049122A (ko) | 2006-05-18 |
US20060168255A1 (en) | 2006-07-27 |
EP1653710B1 (en) | 2011-08-03 |
KR101213806B1 (ko) | 2012-12-18 |
JP4880278B2 (ja) | 2012-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4880278B2 (ja) | 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護 | |
US8661505B2 (en) | Policy evaluation in controlled environment | |
US7694343B2 (en) | Client compliancy in a NAT environment | |
US7634803B2 (en) | Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework | |
US8806581B2 (en) | Secure launching of browser from privileged process | |
US20120131646A1 (en) | Role-based access control limited by application and hostname | |
US9384359B2 (en) | Information firewall | |
US20040267749A1 (en) | Resource name interface for managing policy resources | |
US9886590B2 (en) | Techniques for enforcing application environment based security policies using role based access control | |
EP1910970A2 (en) | Segmented network identity management | |
US20040073668A1 (en) | Policy delegation for access control | |
KR20050062368A (ko) | 방화벽 서비스 관리를 위한 객체 모델 | |
JP2012146317A (ja) | ネットワーク・セキュリティ・システムおよび方法 | |
JP2009151751A (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
US20100031317A1 (en) | Secure access | |
CN1822590A (zh) | 保护轻量级目录访问协议的通信 | |
US20040236760A1 (en) | Systems and methods for extending a management console across applications | |
US20030088648A1 (en) | Supporting access control checks in a directory server using a chaining backend method | |
US20060005234A1 (en) | Method and apparatus for handling custom token propagation without Java serialization | |
US20080256603A1 (en) | Method and system for securing a commercial grid network | |
Bindiganavale et al. | Role based access control in enterprise application-security administration and user management | |
O'Leary et al. | Attacking the Windows Domain | |
EP3674933A1 (en) | System and method of changing the password of an account record under a threat of unlawful access to user data | |
CN118118238A (zh) | 访问权限的验证方法及装置 | |
CN118056380A (zh) | 在计算机网络之内限制横向遍历 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081014 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081014 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110722 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111020 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111118 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111201 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4880278 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |