7.1 Параметры абстрактного связывания
В данном разделе описаны параметры операции связывания для порта СПД.
DfrBind : : = ABSTRACT-BIND
ТО {dfr-port [S]} | |||
BIND |
ARGUMENT | DfrBindArgument | |||
RESULT | DfrBindResult | |||
BIND-ERROR | DfrBindError |
7.1.1 Пapaмeтры аргумента связывания
Параметр DfrBindArgument идентифицирует или аутентифицирует пользователя СПД (см. также 6.3.8). Кроме того, он содержит набор ограничений для записей, которые должны быть возвращены как результат абстрактной операции СПД.
Определение:
DfrBindArgument : : = SEQUENCE {
initiator-name | [0] | DistinguishedName, | |||
credentials | [1] | Credentials, | |||
retrieve-restrictions | [2] | Restrictions OPTIONAL, | |||
- - по умолчанию ограничений нет - - | |||||
dfr-configuration-request | [3] | BOOLEAN DEFAULT FALSE, | |||
bind-security | [4] | BindSecurity OPTIONAL, | |||
priority | [5] | Priority DEFAULT medium, | |||
dor-for-produce-operations | [6] | BOOLEAN DEFAULT TRUE, | |||
dor-for-consume-operations | [7] | BOOLEAN DEFAULT TRUE, | |||
protocol-version | [8] | INTEGER { | |||
version-1 (1), | |||||
version-2 (2)} DEFAULT {1}, | |||||
bilateralInformation | [9] | SEQUENCE OF | |||
BilateralInformationEntry OPTIONAL, | |||||
dTAM-manipuIation-capabilities | [10] | ManipulationCapabilities OPTIONAL, | |||
dTAM-protocol-version | [11] | BITSTRING {version-1 (0)}, DEFAULT {0}}, | |||
dfr-profile-selection | [12] | OBJECT IDENTIFIER OPTIONAL, | |||
application-requirements | [13] | ApplicationRequirement OPTIONAL} |
a) initiator-name (0) - этот аргумент содержит отличающее имя инициатора ассоциации и предоставляется пользователем СПД.
б) credentials (0) - полномочия также могут быть переданы между пользователем СПД и сервером СПД. Представляет или нет пользователь СПД конкретного конечного пользователя, не интересует сервер СПД. С точки зрения сервера СПД идентичность запрашивающего доступ субъекта и привилегии доступа получаются из переданных полномочий. Полномочия служат для идентификации и аутентификации пользователя или для подтверждения идентичности пользователя, аутентифицированного ранее внешним образом. В последнем случае, также могут быть переданы привилегии управления доступом, связанные с пользователем. Полный синтаксис и семантика полномочий для целей аутентификации находятся вне области применения настоящего стандарта (это - общие вопросы для всех операций связывания). Использование подтверждающих атрибутов безопасности описано кратко ниже. Однако семантические подробности остаются неопределенными, так как зависят от фактически объявленной политики безопасности и реализуются организацией, эксплуатирующей приложение СПД.
Аутентификация пользователя может осуществляться внешним для сервера СПД образом; получившиеся в результате атрибуты управления доступом должны быть в дальнейшем переданы в операции связывания для того, чтобы позволить серверу СПД принять последующие решения по управлению доступом. Это - функция конструкции САП. Либо пользователь, либо сервер СПД могут оборвать операцию связывания, если параметры аутентификации не допускают успешного завершения этой операции.
Полномочия, переданные в операции связывания, могут быть изменены параметром Privileges конкретной абстрактной операции СПД (см. 8.1.3.5).
Credentials : : = СНОIСЕ {
simple [0] Creds, | ||||
- - используется для начальной аутентификации - - | ||||
certified [1] PrivilegeAttributeCertificate} | ||||
- - используется, когда начальная аутентификация - - | ||||
- - уже была осуществлена внешним для сервера СПД образом - - |
Creds содержит паспорт, связанный с пользователем СПД:
Creds : : = OCTET STRING
PrivilegeAttributeCertificate содержит связанные с пользователем СПД атрибуты, такие как имя пользователя, название работы или степень безопасности. Они могут быть использованы при принятии решений об управлении доступом (см. 6.3.8).
PrivilegeAttributeCertificate : : = EXTERNAL