ISO/IEC 9594-2:2001
(Main)Information technology — Open Systems Interconnection — The Directory: Models — Part 2:
Information technology — Open Systems Interconnection — The Directory: Models — Part 2:
ISO/IEC 9594-2:2001 provides a number of different models for the Directory as a framework for the other ITU-T Recommendations in the X.500 series. The models are the overall (functional) model, the administrative authority model, generic Directory Information models providing Directory User and Administrative User view on Directory information, generic Directory System Agent (DSA) and DSA information models and operational framework and a security model.
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Les modèles — Partie 2:
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 9594-2
Fourth edition
2001-12-15
Information technology — Open Systems
Interconnection — The Directory: Models
Technologies de l'information — Interconnexion de systèmes ouverts
(OSI) — L'annuaire: Les modèles
Reference number
ISO/IEC 9594-2:2001(E)
©
ISO/IEC 2001
---------------------- Page: 1 ----------------------
ISO/IEC 9594-2:2001(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall not
be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In downloading this
file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat accepts no liability in this
area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation parameters
were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the unlikely event
that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2001
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO's member body
in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Published by ISO in 2002
Printed in Switzerland
ii © ISO/IEC 2001 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 9594-2:2001(E)
CONTENTS
Page
SECTION 1 – GENERAL . 1
1 Scope . 1
2 Normative references. 2
2.1 Identical Recommendations | International Standards. 2
2.2 Paired Recommendations | International Standards equivalent in technical content. 3
3 Definitions . 3
3.1 OSI Reference Model Definitions . 3
3.2 Basic directory definitions. 3
3.3 Distributed operation definitions . 3
3.4 Replication definitions. 3
4 Abbreviations. 4
5 Conventions. 4
SECTION 2 – OVERVIEW OF THE DIRECTORY MODELS. 6
6 Directory Models. 6
6.1 Definitions. 6
6.2 The Directory and its Users. 6
6.3 Directory and DSA Information Models . 7
6.4 Directory Administrative Authority Model. 8
SECTION 3 – MODEL OF DIRECTORY USER INFORMATION. 9
7 Directory Information Base . 9
7.1 Definitions. 9
7.2 Objects. 10
7.3 Directory Entries . 10
7.4 The Directory Information Tree (DIT). 10
8 Directory Entries. 11
8.1 Definitions. 11
8.2 Overall Structure . 12
8.3 Object Classes . 13
8.4 Attribute Types. 15
8.5 Attribute Values . 15
8.6 Attribute Type Hierarchies . 15
8.7 Contexts. 16
8.8 Matching Rules. 17
8.9 Entry Collections. 20
8.10 Compound entries and families of entries . 21
9 Names . 22
9.1 Definitions. 22
9.2 Names in General . 22
9.3 Relative Distinguished Names. 23
9.4 Name Matching . 24
9.5 Names returned during operations. 24
9.6 Names held as attribute values or used as parameters . 25
9.7 Distinguished Names. 25
9.8 Alias Names . 25
10 Hierarchical groups. 26
10.1 Definitions. 26
10.2 Hierarchical relationship . 27
iii
© ISO/IEC 2001 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/IEC 9594-2:2001(E)
Page
SECTION 4 – DIRECTORY ADMINISTRATIVE MODEL. 28
11 Directory Administrative Authority model. 28
11.1 Definitions. 28
11.2 Overview . 28
11.3 Policy. 29
11.4 Specific administrative authorities . 29
11.5 Administrative areas and administrative points. 30
11.6 DIT Domain policies . 32
11.7 DMD policies . 32
SECTION 5 – MODEL OF DIRECTORY ADMINISTRATIVE AND OPERATIONAL INFORMATION. 34
12 Model of Directory Administrative and Operational Information. 34
12.1 Definitions. 34
12.2 Overview . 34
12.3 Subtrees . 35
12.4 Operational attributes . 37
12.5 Entries. 38
12.6 Subentries . 38
12.7 Information model for collective attributes . 39
12.8 Information model for context defaults . 40
SECTION 6 – THE DIRECTORY SCHEMA. 41
13 Directory Schema . 41
13.1 Definitions. 41
13.2 Overview . 41
13.3 Object class definition . 43
13.4 Attribute type definition . 45
13.5 Matching rule definition . 47
13.6 Relaxations and tightenings. 49
13.7 DIT structure definition. 56
13.8 DIT content rule definition. 58
13.9 Context type definition. 59
13.10 DIT Context Use definition . 60
14 Directory System Schema. 61
14.1 Overview . 61
14.2 System schema supporting the administrative and operational information model. 61
14.3 System schema supporting the administrative model. 62
14.4 System schema supporting general administrative and operational requirements. 62
14.5 System schema supporting access control. 65
14.6 System schema supporting the collective attribute model. 65
14.7 System schema supporting context assertion defaults. 65
14.8 System schema supporting the service administration model . 66
14.9 System schema supporting hierarchical groups. 66
14.10 Maintenance of system schema . 67
14.11 System schema for first-level subordinates . 67
15 Directory schema administration . 67
15.1 Overview . 67
15.2 Policy objects . 67
15.3 Policy parameters . 68
15.4 Policy procedures . 68
15.5 Subschema modification procedures . 68
15.6 Entry addition and modification procedures. 69
15.7 Subschema policy attributes . 69
iv © ISO/IEC 2001 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 9594-2:2001(E)
Page
SECTION 7 – DIRECTORY SERVICE ADMINISTRATION . 75
16 Service Administration Model. 75
16.1 Definitions. 75
16.2 Service-type/user-class model . 75
16.3 Service specific administrative areas. 76
16.4 Introduction to search-rules. 77
16.5 Subfilters . 77
16.6 Filter requirements. 78
16.7 Attribute information selection based on search-rules. 78
16.8 Access control aspects of search-rules . 79
16.9 Contexts aspects of search-rules. 79
16.10 Search-rule specification . 79
16.11 Matching restriction definition . 87
16.12 Search-validation function. 87
SECTION 8 – SECURITY . 89
17 Security model. 89
17.1 Definitions. 89
17.2 Security policies . 89
17.3 Protection of Directory operations. 90
18 Basic Access Control. 94
18.1 Scope and application. 94
18.2 Basic Access Control model. 94
18.3 Access control administrative areas. 96
18.4 Representation of Access Control Information . 99
18.5 The ACI operational attributes . 104
18.6 Protecting the ACI. 104
18.7 Access control and Directory operations. 105
18.8 Access Control Decision Function . 105
18.9 Simplified Access Control. 106
19 Rule-based Access Control. 107
19.1 Scope and application. 107
19.2 Rule-based Access Control model. 107
19.3 Access control administrative areas. 108
19.4 Security Label. 108
19.5 Clearance. 109
19.6 Access Control and Directory operations . 109
19.7 Access Control Decision Function . 110
19.8 Use of Rule-based and Basic Access Control. 110
20 Cryptographic Protection in Storage. 110
20.1 Data Integrity in Storage . 110
20.2 Confidentiality of stored data . 112
SECTION 9 – DSA MODELS . 115
21 DSA Models . 115
21.1 Definitions. 115
21.2 Directory Functional Model . 115
21.3 Directory Distribution Model . 116
SECTION 10 – DSA INFORMATION MODEL. 118
22 Knowledge. 118
22.1 Definitions. 118
22.2 Introduction . 118
22.3 Knowledge References. 119
22.4 Minimum Knowledge. 121
22.5 First Level DSAs . 122
© ISO/IEC 2001 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 9594-2:2001(E)
Page
23 Basic Elements of the DSA Information Model . 122
23.1 Definitions. 122
23.2 Introduction . 122
23.3 DSA-Specific Entries and their Names . 123
23.4 Basic Elements . 124
24 Representation of DSA Information . 126
24.1 Representation of Directory User and Operational Information. 126
24.2 Representation of Knowledge References. 127
24.3 Representation of Names and Naming Contexts . 133
SECTION 11 – DSA OPERATIONAL FRAMEWORK . 135
25 Overview . 135
25.1 Definitions. 135
25.2 Introduction . 135
26 Operational bindings. 135
26.1 General . 135
26.2 Application of the operational framework. 136
26.3 States of cooperation . 137
27 Operational binding specification and management. 138
27.1 Operational binding type specification. 138
27.2 Operational binding management. 139
27.3 Operational binding specification templates . 140
28 Operations for operational binding management. 142
28.1 Application-context definition. 142
28.2 Establish Operational Binding operation. 142
28.3 Modify Operational Binding operation . 144
28.4 Terminate Operational Binding operation . 145
28.5 Operational Binding Error. 146
28.6 Operational Binding Management Bind and Unbind . 147
Annex A – Object identifier usage . 149
Annex B – Information Framework in ASN.1. 152
Annex C – SubSchema Administration Schema in ASN.1. 161
Annex D – Service Administration in ASN.1. 165
Annex E – Basic Access Control in ASN.1 .
...
NORME ISO/CEI
INTERNATIONALE 9594-2
Quatrième édition
2001-12-15
Technologies de l'information —
Interconnexion de systèmes ouverts
(OSI) — L'annuaire: Les modèles
Information technology — Open Systems Interconnection — The
Directory: Models
Numéro de référence
ISO/CEI 9594-2:2001(F)
©
ISO/CEI 2001
---------------------- Page: 1 ----------------------
ISO/CEI 9594-2:2001(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 2001
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié par l'ISO en 2002
Version française parue en 2003
Publié en Suisse
ii © ISO/CEI 2001 — Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 9594-2:2001(F)
TABLE DES MATIÈRES
Page
SECTION 1 – GÉNÉRALITÉS . 1
1 Domaine d'application. 1
2 Références normatives . 2
2.1 Recommandations | Normes internationales identiques. 2
2.2 Paires de Recommandations | Normes internationales équivalentes par leur contenu technique. 3
3 Définitions. 3
3.1 Définitions des modèles OSI de référence . 3
3.2 Définitions concernant l'annuaire de base. 3
3.3 Définitions concernant l'exploitation répartie . 3
3.4 Définitions concernant la duplication . 3
4 Abréviations . 4
5 Conventions. 5
SECTION 2 – APERÇU GÉNÉRAL DES MODÈLES DE L'ANNUAIRE. 6
6 Modèles de l'annuaire. 6
6.1 Définitions. 6
6.2 L'annuaire et ses utilisateurs. 6
6.3 Modèles des informations de l'annuaire et des DSA. 7
6.4 Modèle d'Autorité administrative de l'annuaire . 8
SECTION 3 – MODÈLE DES INFORMATIONS UTILISATEUR DE L'ANNUAIRE . 10
7 Base d'informations d'annuaire. 10
7.1 Définitions. 10
7.2 Objets . 11
7.3 Entrées d'annuaire . 11
7.4 L'arbre d'information d'annuaire (DIT) . 11
8 Entrées de l'annuaire. 12
8.1 Définitions. 12
8.2 Structure générale . 13
8.3 Classes d'objets . 14
8.4 Types d'attributs . 16
8.5 Valeurs des attributs. 17
8.6 Hiérarchies de types d'attributs . 17
8.7 Contextes. 17
8.8 Règles de correspondance. 18
8.9 Ensembles d'entrées . 22
8.10 Entrées composites et familles d'entrées . 22
9 Noms . 23
9.1 Définitions. 23
9.2 Noms en général. 24
9.3 Noms distinctifs relatifs . 24
9.4 Correspondance des noms. 25
9.5 Noms renvoyés pendant les opérations . 26
9.6 Noms détenus comme valeurs d'attribut ou utilisés comme paramètres . 26
9.7 Noms distinctifs . 26
9.8 Pseudonymes. 28
10 Groupes hiérarchiques. 28
10.1 Définitions. 28
10.2 Relations hiérarchiques . 29
© ISO/CEI 2001 — Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 9594-2:2001(F)
Page
SECTION 4 – MODÈLE ADMINISTRATIF DE L'ANNUAIRE. 30
11 Modèle des autorités administratives de l'annuaire . 30
11.1 Définitions. 30
11.2 Aperçu général . 30
11.3 Politique . 31
11.4 Autorités administratives spécifiques. 31
11.5 Zones administratives et points administratifs . 32
11.6 Politiques d'un domaine du DIT. 34
11.7 Politiques de DMD. 35
SECTION 5 – MODÈLE DES INFORMATIONS ADMINISTRATIVES ET OPÉRATIONNELLES DE
L'ANNUAIRE. 36
12 Modèle des informations administratives et opérationnelles de l'annuaire . 36
12.1 Définitions. 36
12.2 Aperçu général . 36
12.3 Sous-arbres. 37
12.4 Attributs opérationnels. 40
12.5 Entrées. 40
12.6 Sous-entrées . 40
12.7 Modèle d'informations des attributs collectifs. 42
12.8 Modèles d'informations des valeurs de contexte par défaut. 42
SECTION 6 – LE SCHÉMA D'ANNUAIRE. 44
13 Schéma d'annuaire. 44
13.1 Définitions. 44
13.2 Aperçu général . 44
13.3 Définition d'une classe d'objets . 46
13.4 Définition des types d'attributs. 48
13.5 Définition d'une règle de correspondance . 51
13.6 Elargissements et resserrements. 53
13.7 Définition de la structure du DIT . 60
13.8 Définition d'une règle de contenu du DIT. 62
13.9 Définition du type de contexte . 64
13.10 Définition de la règle d'utilisation de contexte du DIT . 64
14 Schéma du système d'annuaire. 65
14.1 Aperçu général . 65
14.2 Schéma de système prenant en charge le modèle d'informations administratives et opérationnelles . 66
14.3 Schéma de système prenant en charge le modèle administratif . 66
14.4 Schéma de système prenant en charge les spécifications générales administratives et
opérationnelles . 67
14.5 Schéma de système assurant le contrôle d'accès . 69
14.6 Schéma du système prenant en charge le modèle d'attributs collectifs . 70
14.7 Schéma de système prenant en charge les valeurs d'assertion de contexte par défaut . 70
14.8 Schéma de système prenant en charge le modèle d'administration de service . 70
14.9 Shéma de système prenant en charge les groupes hiérarchiques. 71
14.10 Maintenance du schéma de système. 72
14.11 Schéma de système pour subordonnés de premier niveau . 72
15 Administration du schéma de l'annuaire. 72
15.1 Aperçu général . 72
15.2 Objets politiques . 72
15.3 Paramètres politiques . 73
15.4 Procédures politiques . 73
15.5 Procédures de modification du sous-schéma. 73
15.6 Procédures de modification et d'ajout d'entrées . 74
15.7 Attributs politiques du sous-schéma . 75
iv © ISO/CEI 2001 — Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 9594-2:2001(F)
Page
SECTION 7 – ADMINISTRATION DU SERVICE D'ANNUAIRE . 80
16 Modèle d'administration de service. 80
16.1 Définitions. 80
16.2 Modèle de type de service/de classe d'utilisateur. 80
16.3 Zones administratives spécifiques du service . 81
16.4 Introduction aux règles de recherche . 82
16.5 Sous-filtres . 83
16.6 Caractéristiques des filtres . 83
16.7 Sélection d'informations d'attribut sur la base de règles de recherche . 84
16.8 Aspects de contrôle d'accès des règles de recherche. 84
16.9 Aspects contextuels des règles de recherche. 84
16.10 Spécification des règles de recherche. 85
16.11 Définition d'une limitation de correspondance. 93
16.12 Fonction de validation de recherche. 93
SECTION 8 – SÉCURITÉ . 95
17 Modèle de sécurité . 95
17.1 Définitions. 95
17.2 Politiques de sécurité . 95
17.3 Protection des opérations d'annuaire. 96
18 Contrôle d'accès de base. 100
18.1 Objet et domaine d'application. 100
18.2 Modèle de contrôle d'accès de base. 100
18.3 Zones administratives de contrôle d'accès . 103
18.4 Représentation des informations de contrôle d'accès . 105
18.5 Les attributs opérationnels ACI . 111
18.6 Protection des ACI. 112
18.7 Contrôle d'accès et opérations d'annuaire. 112
18.8 Fonction de décision de contrôle d'accès . 112
18.9 Contrôle d'accès simplifié . 114
19 Contrôle d'accès fondé sur des règles. 114
19.1 Objet et domaine d'application. 114
19.2 Modèle de contrôle d'accès fondé sur des règles. 114
19.3 Zones administratives de contrôle d'accès . 115
19.4 Etiquette de sécurité. 115
19.5 Habilitation (clearance). 117
19.6 Contrôle d'accès et opérations d'annuaire. 117
19.7 Fonction de décision de contrôle d'accès . 118
19.8 Utilisation du contrôle d'accès fondé sur des règles et du contrôle d'accès de base. 118
20 Protection cryptographique des données stockées. 118
20.1 Intégrité des données stockées . 118
20.2 Confidentialité des données stockées. 120
SECTION 9 – MODÈLES DE DSA . 123
21 Modèles de DSA . 123
21.1 Définitions. 123
21.2 Modèle fonctionnel de l'annuaire . 123
21.3 Modèle de répartition de l'annuaire. 124
SECTION 10 – MODÈLE D'INFORMATIONS DE DSA. 126
22 Connaissance. 126
22.1 Définitions. 126
22.2 Introduction. 126
22.3 Références de connaissance . 127
22.4 Connaissance minimale. 129
22.5 DSA de premier niveau. 130
© ISO/CEI 2001 — Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 9594-2:2001(F)
Page
23 Eléments de base du modèle d'informations de DSA. 131
23.1 Définitions. 131
23.2 Introduction. 131
23.3 Les entrées spécifiques d'un DSA et leurs noms. 131
23.4 Eléments de base. 133
24 Représentation des informations d'un DSA. 135
24.1 Représentation des informations utilisateur et opérationnelles de l'annuaire. 135
24.2 Représentation des références de connaissance . 136
24.3 Représentation des noms et des contextes de dénomination . 142
SECTION 11 – CADRE OPÉRATIONNEL DES DSA . 144
25 Aperçu général . 144
25.1 Définitions. 144
25.2 Introduction. 144
26 Liaison opérationnelle . 144
26.1 Généralités . 144
26.2 Application du cadre opérationnel . 145
26.3 Etats de coopération. 146
27 Spécification et gestion des liaisons opérationnelles. 147
27.1 Spécification du type de liaison opérationnelle. 147
27.2 Gestion d'une liaison opérationnelle . 148
27.3 Gabarits de spécification de liaisons opérationnelles. 148
28 Opérations de gestion de liaison opérationnelle . 151
28.1 Définition d'un contexte d'application. 151
28.2 Etablissement de liaison opérationnelle . 151
28.3 Opération de modification de liaison opérationnelle. 154
28.4 Opération de terminaison de liaison opérationnelle . 155
28.5 Erreur de liaison opérationnelle . 156
28.6 Etablissement et terminaison de liaison de gestion de liaison opérationnelle . 157
Annexe A – Utilisation des identificateurs d'objet . 159
Annexe B – ASN.1 du cadre informationnel. 162
Annexe C – ASN.1 du schéma d'administration de sous-schéma. 171
Annexe D – ASN.1 de l'administration de service . 175
Annexe E – ASN.1 du contrôle d
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.