ISO/IEC 9594-2:1998
(Main)Information technology — Open Systems Interconnection — The Directory: Models — Part 2:
Information technology — Open Systems Interconnection — The Directory: Models — Part 2:
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Les modèles — Partie 2:
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 9594-2
Third edition
1998-12-15
Information technology — Open Systems
Interconnection — The Directory: Models
Technologies de l'information — Interconnexion de systèmes ouverts
(OSI) — L'Annuaire: Les modèles
Reference number
ISO/IEC 9594-2:1998(E)
©
ISO/IEC 1998
---------------------- Page: 1 ----------------------
ISO/IEC 9594-2:1998(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall not
be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In downloading this
file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat accepts no liability in this
area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation parameters
were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the unlikely event
that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 1998
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO's member body
in the country of the requester.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Published by ISO in 2000
Printed in Switzerland
ii © ISO/IEC 1998 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 9594-2:1998(E)
Contents
Page
SECTION 1 – GENERAL. 1
1 Scope . 1
2 Normative references. 2
2.1 Identical Recommendations | International Standards. 2
2.2 Paired Recommendations | International Standards equivalent in technical content. 3
3 Definitions . 3
3.1 OSI Reference Model Definitions. 3
3.2 Basic directory definitions. 3
3.3 Distributed operation definitions. 3
3.4 Replication definitions . 3
4 Abbreviations . 4
5 Conventions. 4
SECTION 2 – OVERVIEW OF THE DIRECTORY MODELS . 5
6 Directory Models. 5
6.1 Definitions. 5
6.2 The Directory and its Users. 5
6.3 Directory and DSA Information Models. 6
6.4 Directory Administrative Authority Model. 7
SECTION 3 – MODEL OF DIRECTORY USER INFORMATION . 8
7 Directory Information Base . 8
7.1 Definitions. 8
7.2 Objects. 9
7.3 Directory Entries . 9
7.4 The Directory Information Tree (DIT). 9
8 Directory Entries. 10
8.1 Definitions. 10
8.2 Overall Structure . 11
8.3 Object Classes . 12
8.4 Attribute Types. 14
8.5 Attribute Values . 14
8.6 Attribute Type Hierarchies. 14
8.7 Contexts. 15
8.8 Matching Rules . 15
8.9 Entry Collections. 18
9 Names. 19
9.1 Definitions. 19
9.2 Names in General . 19
9.3 Relative Distinguished Names . 20
9.4 Name Matching . 21
9.5 Names returned during operations . 22
9.6 Names held as attribute values or used as parameters.22
9.7 Distinguished Names. 22
9.8 Alias Names . 22
© ISO/IEC 1998 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 9594-2:1998(E)
Page
SECTION 4 – DIRECTORY ADMINISTRATIVE MODEL . 23
10 Directory Administrative Authority model. 23
10.1 Definitions. 23
10.2 Overview . 24
10.3 Policy. 24
10.4 Specific administrative authorities . 25
10.5 Administrative areas and administrative points. 25
10.6 DIT Domain policies. 28
10.7 DMD policies . 28
SECTION 5 – MODEL OF DIRECTORY ADMINISTRATIVE AND OPERATIONAL INFORMATION
........................................................................................................................................................................ 28
11 Model of Directory Administrative and Operational Information. 28
11.1 Definitions. 28
11.2 Overview . 29
11.3 Subtrees . 30
11.4 Operational attributes . 32
11.5 Entries. 32
11.6 Subentries. 33
11.7 Information model for collective attributes. 34
11.8 Information model for context defaults. 35
SECTION 6 – THE DIRECTORY SCHEMA . 35
12 Directory Schema . 35
12.1 Definitions. 35
12.2 Overview . 36
12.3 Object class definition. 37
12.4 Attribute type definition . 39
12.5 Matching rule definition. 41
12.6 DIT structure definition. 43
12.7 DIT content rule definition. 45
12.8 Context type definition. 46
12.9 DIT Context Use definition. 47
13 Directory System Schema. 48
13.1 Overview . 48
13.2 System schema supporting the administrative and operational information model . 48
13.3 System schema supporting the administrative model. 49
13.4 System schema supporting general administrative and operational requirements . 49
13.5 System schema supporting access control. 52
13.6 System schema supporting the collective attribute model. 52
13.7 System schema supporting context assertion defaults.52
13.8 Maintenance of system schema. 52
13.9 System schema for first-level subordinates. 53
14 Directory schema administration. 53
14.1 Overview . 53
14.2 Policy objects . 53
14.3 Policy parameters . 54
14.4 Policy procedures . 54
14.5 Subschema modification procedures. 54
14.6 Entry addition and modification procedures . 55
14.7 Subschema policy attributes. 55
iv © ISO/IEC 1998 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 9594-2:1998(E)
Page
SECTION 7 – SECURITY . 60
15 Security model. 60
15.1 Definitions. 60
15.2 Security policies . 61
15.3 Protection of Directory operations . 62
16 Basic Access Control. 65
16.1 Scope and application. 65
16.2 Basic Access Control model. 65
16.3 Access control administrative areas . 68
16.4 Representation of Access Control Information . 71
16.5 The ACI operational attributes . 76
16.6 Protecting the ACI. 76
16.7 Access control and Directory operations. 77
16.8 Access Control Decision Function . 77
16.9 Simplified Access Control. 78
17 Rule-based Access Control. 79
17.1 Scope and application. 79
17.2 Rule-based Access Control model. 79
17.3 Access control administrative areas . 80
17.4 Security Label . 80
17.5 Clearance. 81
17.6 Access Control and Directory operations. 81
17.7 Access Control Decision Function . 82
17.8 Use of Rule-based and Basic Access Control . 82
18 Cryptographic Protection in Storage . 82
18.1 Data Integrity in Storage . 82
18.2 Confidentiality of stored data . 84
SECTION 8 – DSA MODELS . 86
19 DSA Models . 86
19.1 Definitions. 86
19.2 Directory Functional Model . 86
19.3 Directory Distribution Model. 87
SECTION 9 – DSA INFORMATION MODEL . 89
20 Knowledge. 89
20.1 Definitions. 89
20.2 Introduction . 90
20.3 Knowledge References. 90
20.4 Minimum Knowledge. 93
20.5 First Level DSAs. 93
21 Basic Elements of the DSA Information Model. 94
21.1 Definitions. 94
21.2 Introduction . 94
21.3 DSA-Specific Entries and their Names . 94
21.4 Basic Elements . 96
22 Representation of DSA Information. 97
22.1 Representation of Directory User and Operational Information . 97
22.2 Representation of Knowledge References. 98
22.3 Representation of Names and Naming Contexts. 105
SECTION 10 – DSA OPERATIONAL FRAMEWORK. 106
23 Overview . 106
23.1 Definitions. 106
23.2 Introduction . 107
© ISO/IEC 1998 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 9594-2:1998(E)
Page
24 Operational bindings . 107
24.1 General . 107
24.2 Application of the operational framework . 108
24.3 States of cooperation . 109
25 Operational binding specification and management. 110
25.1 Operational binding type specification. 110
25.2 Operational binding management. 111
25.3 Operational binding specification templates . 112
26 Operations for operational binding management. 114
26.1 Application-context definition . 114
26.2 Establish Operational Binding operation. 114
26.3 Modify Operational Binding operation . 116
26.4 Terminate Operational Binding operation. 118
26.5 Operational Binding Error. 119
26.6 Operational Binding Management Bind and Unbind . 120
Annex A – Object identifier usage . 121
Annex B – Information Framework in ASN.1. 124
Annex C – SubSchema Administration Schema in ASN.1. 131
Annex D – Basic Access Control in ASN.1 . 134
Annex E – DSA Operational Attribute Types in ASN.1 . 137
Annex F – Operational Binding Management in ASN.1 . 140
Annex G – The Mathematics of Trees. 144
Annex H – Name Design Criteria. 145
Annex I – Examples of various aspects of schema. 147
I.1 Example of an Attribute Hierarchy . 147
I.2 Example of a Subtree Specification . 147
I.3 Schema Specification . 148
I.4 DIT content rules. 149
I.5 DIT context use . 150
Annex J – Overview of Basic Access Control Permissions. 151
J.1 Introduction . 151
Annex K – Examples of Access Control . 154
K.1 Introduction . 154
K.2 Design principles for Basic Access Control. 154
K.3 Introduction to example. 155
K.4 Policy affecting the definition of specific and inner areas . 155
K.5 Policy affecting the definition of DACDs . 158
K.6 Policy expressed in prescriptiveACI attributes . 160
K.7 Policy expressed in subentryACI attributes . 167
K.8 Policy expressed in entryACI attributes . 168
K.9 ACDF examples . 169
K.10 Rule-based Access Control .
...
NORME ISO/CEI
INTERNATIONALE 9594-2
Troisième édition
1998-12-15
Technologies de l'information —
Interconnexion de systèmes ouverts
(OSI)— L'annuaire:Les modèles
Information technology — Open Systems Interconnection — The
Directory: Models
Numéro de référence
ISO/CEI 9594-2:1998(F)
©
ISO/CEI 1998
---------------------- Page: 1 ----------------------
ISO/CEI 9594-2:1998(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier peut
être imprimé ou visualisé, mais ne doit pas être modifiéà moins que l'ordinateur employéà cet effet ne bénéficie d'une licence autorisant
l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées acceptent de fait la
responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute responsabilité en la
matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la créationduprésent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation de
ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer le
Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 1998
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l’ISO à
l’adresse ci-aprèsouducomité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Publiée par l'ISO en 2000
Version française parue en 2001
Imprimé en Suisse
ii © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 9594-2:1998(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier peut
être imprimé ou visualisé, mais ne doit pas être modifiéà moins que l'ordinateur employéà cet effet ne bénéficie d'une licence autorisant
l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées acceptent de fait la
responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute responsabilité en la
matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la créationduprésent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation de
ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer le
Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 1998
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l’ISO à
l’adresse ci-aprèsouducomité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Version française parue en 2000
Imprimé en Suisse
ii © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/CEI 9594-2:1998(F)
TABLE DES MATIÈRES
Page
Introduction. viii
SECTION 1 – GÉNÉRALITÉS . 1
1 Domaine d'application . 1
2 Références normatives. 2
2.1 Recommandations | Normes internationales identiques . 2
2.2 Paires de Recommandations | Normes internationales équivalentes par leur contenu technique. 3
3 Définitions . 3
3.1 Définitions des modèles OSI de référence . 3
3.2 Définitions concernant l'annuaire de base . 3
3.3 Définitions concernant l'exploitation répartie . 3
3.4 Définitions concernant la duplication. 4
4 Abréviations . 4
5 Conventions. 5
SECTION 2 – APERÇU GÉNÉRAL DES MODÈLES DE L'ANNUAIRE. 5
6 Modèles de l'annuaire . 5
6.1 Définitions. 5
6.2 L'annuaire et ses utilisateurs. 6
6.3 Modèles des informations de l'annuaire et des DSA . 7
6.4 Modèle d'Autorité administrative de l'annuaire. 7
SECTION 3 – MODÈLE DES INFORMATIONS UTILISATEUR DE L'ANNUAIRE . 8
7 Base d'informations d'annuaire. 8
7.1 Définitions. 8
7.2 Objets . 9
7.3 Entrées d'annuaire . 9
7.4 L'arbre d'informations d'annuaire (DIT). 10
8 Entrées de l'annuaire. 11
8.1 Définitions. 11
8.2 Structure générale. 12
8.3 Classes d'objets. 13
8.4 Types d'attributs . 14
8.5 Valeurs des attributs . 15
8.6 Hiérarchies de types d'attributs. 15
8.7 Contextes. 16
8.8 Règles de correspondance . 16
8.9 Ensembles d'entrées. 19
9 Noms. 20
9.1 Définitions. 20
9.2 Noms en général. 21
9.3 Noms distinctifs relatifs. 21
9.4 Correspondance des noms . 22
9.5 Noms renvoyés pendant les opérations . 23
9.6 Noms détenus comme valeurs d'attribut ou utilisés comme paramètres. 23
9.7 Noms distinctifs. 23
9.8 Pseudonymes. 24
© ISO/CEI 1998 – Tous droits réservés iii
---------------------- Page: 4 ----------------------
ISO/CEI 9594-2:1998(F)
Page
SECTION 4 – MODÈLE ADMINISTRATIF DE L'ANNUAIRE. 25
10 Modèle des autorités administratives de l'annuaire . 25
10.1 Définitions. 25
10.2 Aperçu général . 26
10.3 Politique . 26
10.4 Autorités administratives spécifiques. 26
10.5 Zones administratives et points administratifs . 27
10.6 Politiques d'un domaine du DIT. 29
10.7 Politiques de DMD. 30
SECTION 5 – MODÈLE DES INFORMATIONS ADMINISTRATIVES ET OPÉRATIONNELLES
DE L'ANNUAIRE. 30
11 Modèle des informations administratives et opérationnelles de l'annuaire. 30
11.1 Définitions. 30
11.2 Aperçu général . 31
11.3 Sous-arbres. 32
11.4 Attributs opérationnels . 34
11.5 Entrées. 34
11.6 Sous-entrées . 35
11.7 Modèle d'informations des attributs collectifs. 36
11.8 Modèles d'informations des valeurs de contexte par défaut . 37
SECTION 6 – LE SCHÉMA D'ANNUAIRE. 37
12 Schéma d'annuaire . 37
12.1 Définitions. 37
12.2 Aperçu général . 38
12.3 Définition d'une classe d'objets . 40
12.4 Définition des types d'attributs . 41
12.5 Définition d'une règle de correspondance . 44
12.6 Définition de la structure du DIT . 45
12.7 Définition d'une règle de contenu du DIT . 48
12.8 Définition du type de contexte . 49
12.9 Définition de la règle d'utilisation de contexte du DIT . 50
13 Schéma du système d'annuaire . 51
13.1 Aperçu général . 51
13.2 Schéma de système prenant en charge le modèle d'informations administratives et opérationnelles . 51
13.3 Schéma de système prenant en charge le modèle administratif. 52
13.4 Schéma de système prenant en charge les spécifications générales administratives et
opérationnelles. 53
13.5 Schéma de système assurant le contrôle d'accès . 55
13.6 Schéma du système prenant en charge le modèle d'attributs collectifs . 55
13.7 Schéma de système prenant en charge les valeurs d'assertion de contexte par défaut . 55
13.8 Maintenance du schéma de système. 56
13.9 Schéma de système pour subordonnés de premier niveau . 56
14 Administration du schéma de l'annuaire. 56
14.1 Aperçu général . 56
14.2 Objets politiques. 57
14.3 Paramètres politiques . 57
14.4 Procédures politiques . 58
14.5 Procédures de modification du sous-schéma. 58
14.6 Procédures de modification et d'ajout d'entrées. 58
14.7 Attributs politiques du sous-schéma. 59
iv © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/CEI 9594-2:1998(F)
Page
SECTION 7 – SÉCURITÉ . 64
15 Modèle de sécurité. 64
15.1 Définitions. 64
15.2 Politiques de sécurité. 64
15.3 Protection des opérations d'annuaire . 65
16 Contrôle d'accès de base. 69
16.1 Objet et domaine d'application . 69
16.2 Modèle de contrôle d'accès de base. 69
16.3 Zones administratives de contrôle d'accès. 72
16.4 Représentation des informations de contrôle d'accès . 75
16.5 Les attributs opérationnels ACI. 80
16.6 Protection des ACI . 81
16.7 Contrôle d'accès et opérations d'annuaire. 81
16.8 Fonction de décision de contrôle d'accès . 81
16.9 Contrôle d'accès simplifié . 83
17 Contrôle d'accès fondé sur des règles . 83
17.1 Objet et domaine d'application . 83
17.2 Modèle de contrôle d'accès fondé sur des règles. 83
17.3 Zones administratives de contrôle d'accès. 84
17.4 Etiquette de sécurité . 84
17.5 Habilitation (clearance) . 85
17.6 Contrôle d'accès et opérations d'annuaire. 86
17.7 Fonction de décision de contrôle d'accès . 86
17.8 Utilisation du contrôle d'accès fondé sur des règles et du contrôle d'accès de base. 87
18 Protection cryptographique des données stockées. 87
18.1 Intégrité des données stockées . 87
18.2 Confidentialité des données stockées . 89
SECTION 8 – MODÈLES DE DSA . 90
19 Modèles de DSA. 90
19.1 Définitions. 90
19.2 Modèle fonctionnel de l'annuaire . 90
19.3 Modèle de répartition de l'annuaire . 91
SECTION 9 – MODÈLE D'INFORMATIONS DE DSA . 93
20 Connaissance . 93
20.1 Définitions. 93
20.2 Introduction . 94
20.3 Références de connaissance . 94
20.4 Connaissance minimale. 97
20.5 DSA de premier niveau . 97
21 Eléments de base du modèle d'informations de DSA . 98
21.1 Définitions. 98
21.2 Introduction . 98
21.3 Les entrées spécifiques d'un DSA et leurs noms . 99
21.4 Eléments de base . 100
22 Représentation des informations d'un DSA. 102
22.1 Représentation des informations utilisateur et opérationnelles de l'annuaire. 102
22.2 Représentation des références de connaissance . 103
22.3 Représentation des noms et des contextes de dénomination . 109
© ISO/CEI 1998 – Tous droits réservés v
---------------------- Page: 6 ----------------------
ISO/CEI 9594-2:1998(F)
Page
SECTION 10 – CADRE OPÉRATIONNEL DES DSA . 111
23 Aperçu général. 111
23.1 Définitions. 111
23.2 Introduction . 111
24 Liaison opérationnelle . 111
24.1 Généralités. 111
24.2 Application du cadre opérationnel . 112
24.3 Etats de coopération . 113
25 Spécification et gestion des liaisons opérationnelles. 114
25.1 Spécification du type de liaison opérationnelle. 114
25.2 Gestion d'une liaison opérationnelle. 115
25.3 Gabarits de spécification de liaisons opérationnelles . 116
26 Opérations de gestion de liaison opérationnelle . 118
26.1 Définition d'un contexte d'application. 118
26.2 Etablissement de liaison opérationnelle . 119
26.3 Opération de modification de liaison opérationnelle. 121
26.4 Opération de terminaison de liaison opérationnelle . 122
26.5 Erreur de liaison opérationnelle . 123
26.6 Etablissement et terminaison de liaison de gestion de liaison opérationnelle . 124
Annexe A – Utilisation des identificateurs d'objet. 126
Annexe B – ASN.1 du cadre informationnel . 129
Annexe C – ASN.1 du schéma d'administration de sous-schéma. 137
Annexe D – ASN.1 du contrôle d'accès de base . 141
Annexe E – Description en ASN.1 des types d'attributs opérationnels des agents DSA . 144
Annexe F – Description en ASN.1 de la gestion de liens opérationnels. 147
Annexe G – La mathématique des arbres . 151
Annexe H – Critères de conception des noms . 152
Annexe I – Exemples relatifs à divers aspects du schéma . 154
I.1 Exemple de hiérarchie d'attributs . 154
I.2 Exemple de spécification d'un sous-arbre . 154
I.3 Spécification du schéma. 155
I.4 Règles de contenu du DIT .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.