Atributos Como a maioria das operações no diretório LDAP está centrada em atributos, é necessário entender como usar esses atributos por meio do JNDI. Os atributos das entradas LDAP são representados pela interface Attributes, enquanto os atributos individuais são representados pela interface Attribute. Para criar atributos para uso em seu programa, você deve usar as classes BasicAttributes e BasicAttribute. Aqui está um exemplo que cria dois atributos, oc e foto. e coloca-os em um objeto Attributes. Nomes de Atributos Você identifica um atributo através do uso de seu nome de atributo. que às vezes é chamado de identificador de atributo ou nome de tipo de atributo. A lição de Operações de Diretório discute os nomes de atributos, especificamente, ela abrange subclasses de atributos, sinônimos de nomes de atributos e a sintaxe para especificar preferências de idioma. Esses recursos podem não ser suportados por todas as implementações do servidor LDAP. Os nomes de atributos LDAP não diferenciam maiúsculas de minúsculas. Assim, dois nomes de atributos, como objectclass e objectClass. ambos seriam interpretados para se referirem ao mesmo atributo. Se você estiver usando a classe BasicAttributes para representar os atributos LDAP, deverá passar true para o parâmetro ignoreCase para seus construtores. Aqui estão alguns exemplos. O LDAP v3 permite que as opções sejam anexadas a um nome de atributo. Cada opção é precedida por um caractere de ponto-e-vírgula (). As opções são como subclassificação de atributos. Ou seja, um atributo nomeado sem a opção é tratado como a superclasse de um atributo nomeado com uma opção. A única opção definida pelo protocolo é binária (indicada pelo uso da cadeia binária), o que significa que o valor dos atributos deve ser transmitido em formato binário (independentemente de sua sintaxe real). Esta opção é reservada para transmissão de dados codificados ASN.1 (como certificados: caCertificatebinary). Servidores que suportam a subclasse de atributos podem suportar a identificação do atributo sem sua opção binária, mas é sempre melhor incluir a opção binária no nome do atributo. Atributos Operacionais O LDAP v3 suporta a noção de atributos operacionais. que são atributos associados a um objeto de diretório para propósitos administrativos. A lista de controle de acesso para um objeto, por exemplo, é um atributo operacional. Em DirContext. getAttributes () e DirContext. search (). você pode fornecer null como a lista de atributos a serem retornados e, portanto, pode especificar que todos os atributos associados aos objetos solicitados sejam retornados. Os atributos retornados, no entanto, não incluem atributos operacionais. Para recuperar atributos operacionais, você deve nomeá-los explicitamente. Valores de Atributo Um atributo LDAP pode ter um único valor ou vários valores não ordenados. Se um atributo pode ter mais de um valor é determinado pela definição de atributos no esquema da directorys. Os atributos únicos e de valor múltiplo são representados no JNDI como um Atributo. No exemplo anterior. um atributo multivalorado e um atributo de valor único são criados. O JNDI é muito flexível em como os valores de atributos podem ser representados, porque esses valores são declarados como java. lang. Object. Quando você usa o JNDI para acessar ou atualizar atributos armazenados em um diretório específico, os tipos de valores de atributo dependem do diretório e, em certa medida, do provedor de serviços correspondente. Para o diretório LDAP, o provedor LDAP Suns representa valores de atributos como java. lang. String ou byte. matrizes de bytes são usadas para representar valores de atributos com sintaxes de atributos nonstring. Strings são usadas para representar os valores de todas as outras sintaxes. Para um atributo arbitrário, nenhuma maneira programática está disponível para determinar se sua sintaxe é nonstring. Maneiras manuais estão disponíveis, é claro, e envolvem a procura do atributo e sua sintaxe em documentos como o RFC 2256. O provedor de serviços LDAP possui uma lista interna de nomes de atributos que ele sabe conter valores nonstring e permite que os clientes adicionem a ele. Lista. A tabela a seguir fornece essa lista interna. Quando você lê um desses atributos do diretório LDAP, seu valor será do tipo byte. Especificando Atributos Adicionais de Nonstring Se o seu programa usar um atributo cujo valor deva ser retornado como uma matriz de bytes, mas o nome dos atributos não constar dessa lista, será necessário adicionar o nome à lista de atributos nonstring. Você faz isso usando a propriedade de ambiente java. naming. ldap. attributes. binary. Seu valor é uma cadeia de nomes de atributos separados por espaços. Por exemplo, a seguinte configuração de propriedade de ambiente informa ao provedor LDAP que os valores dos atributos chamados mpegVideo e mySpecialKey devem ser retornados como matrizes de bytes: Suprimindo o Retorno de Valores de Atributos O LDAP v3 permite especificar apenas nomes de tipo de atributo (e não valores de atributo) ser retornado. Para fazer isso usando o JNDI, você configura a propriedade de ambiente java. naming. ldap. typesOnly. Essa propriedade afeta DirContext. getAttributes () e DirContext. search (). Quando você especifica que os objetos devem ser retornados (passando true para SearchControls. setReturningObjFlag ()) e, em seguida, invocar search (). essa propriedade é ignorada porque os valores de atributos são necessários para gerar o objeto. Heres um exemplo que recebe uma lista de nomes de atributos de uma entrada. Este exemplo produz a seguinte saída. RE: Opção binária LDAP não operacional David, concordo com o resumo do problema que você forneceu abaixo. em termos de interoperabilidade básica do ldapv3, o binário tem sido o problema número 1 que eu encontrei. Eu prefiro uma solução que defina quotuserCertificatebinaryquot e quotuserCertificatequot para ter o mesmo significado. isto é, uma solicitação para userCertificate retornará o mesmo valor codificado binário de um pedido para userCertificatebinary (e a descrição do atributo retornada será userCertificatebinary se userCertificatebinary tiver sido solicitado). ----- Mensagem original ----- De: dwchadwicksalford. ac. uk mailto: dwchadwicksalford. ac. uk Enviado: quinta-feira, novembro 21, 2002 4:52 PM A: steve. hannasun rweisertrustdst Cc: Housley, Russ steve. hannaEast. Sun Hallvard B Furuseth ietf-pkiximc. org Ramsay, Ron Assunto: Re: Opção binária LDAP Não-op Data de envio: Wed, 20 Nov 2002 16:39:26 -0700 De: Russel F Weiser ltrweisertrustdstgt Enviar resposta para: rweisertrustdst Organização: Assinatura Digital Confiança Para: steve. hannasun Copie para: quotHousley, Russquot ltrhousleyrsasecuritygt, steve. hannaEast. Sun, Hallvard B Furuseth lth. b.furusethusit. uio. nogt, ietf-pkiximc. org, quotRamsay, Ronquot ltRon. Ramsaycagt Assunto: Re: Opção binária LDAP Não-op gt Eu concordo fortemente com a solução Hallvards. Isto seria ótimo se userCertificatebinary fosse implementado por todas as implementações LDAPv3 de acordo com a especificação. Mas não é. Também não é garantido que os servidores LDAP tratem uma solicitação LDAPv2 para userCertificate da mesma forma que uma solicitação da v3 para userCertificatebinary. Quais eles deveriam. Estas são algumas das razões pelas quais todo o tópico do binário foi revisitado pelo LDAPBIS no início deste ano. Chris Oliver da Entrust fez um monte de testes de interoperabilidade e encontrou muitos bugs e problemas em implementações LDAP. Eu estaria interessado nas visões de Chriss sobre a proposta de Hallvards que Steve Hanna escreveu: Russ Housley escreveu: gt gt gtI realmente não me importo contanto que concordemos em uma maneira de fazê-lo. Podemos entrar em contato com uma estratégia de transição, uma vez que haja um padrão acordado. Eu não posso aceitar várias maneiras de pedir as mesmas coisas. gt gt gt gt Precisamos dar suporte a userCertificatebinary, porque é o que as especificações e implementações atuais suportam. O grupo de trabalho LDAPBIS gt gt quer fazer a transição para userCertificate. gt gt gt Eu não acho que é possível atender a ambos os requisitos sem ter duas maneiras de acessar o atributo. Por que é tão importante ter apenas um caminho? Não seria preferível uma transição suave de userCertificatebinary para userCertificate? Você tem alguma idéia melhor? Se sim, por favor, apresente. Caso contrário, sugiro que usemos a solução mais simples do Hallvard: gt gt Novos servidores DEVEM suportar o userCertificate ou userCertificatebinary gt gt e tratá-los como idênticos. Os clientes devem usar userCertificatebinary. gt gt Depois que os servidores antigos se foram, podemos dizer que os clientes DEVEM usar o userCertificate. gt gt gt - SteveAttributes com Option Binary Alguns sistemas de diretórios aplicam um tratamento especial para determinados atributos, de modo que a opção binário do atributo LDAP deve ser usada. A razão para isso: Os valores de atributo ou valores de asserção referentes devem ser BER (Basic Encoding Rules) codificados - caso contrário, os valores são codificados de acordo com a codificação específica do LDAP RFC 4517 para a sintaxe de atributos. Para sinalizar esse tratamento especial, o servidor LDAP retorna esses atributos apenas com a opção binária. Opções LDAP como a opção binária são geralmente descritas na especificação LDAP v3 no RFC 4511. Elas são adicionadas aos nomes dos atributos como um sufixo sempre que o servidor LDAP e o cliente se comunicam entre si, por exemplo, assim: A opção binária em particular é descrito no RFC 4522. Às vezes, não é marcado claramente no esquema do diretório quando um atributo requer um tratamento com a opção binária. Nesses casos, você tem a possibilidade de colocar um atributo desse tipo na lista Atributos de opção binária nas opções do aplicativo em Ferramentas - Opções - Configurações LDAP: para que esses atributos possam ser lidos e gravados sem problemas. Normalmente você não precisará trabalhar muito nessa lista porque a maioria dos atributos que precisam das opções binárias são predefinidos como valores padrão aqui. Você perceberá quando um atributo precisar ser adicionado a essa lista quando for visualizado no painel da lista de atributos com a sequência binária no final do nome dos atributos: Outro sintoma que avisa para adicionar um nome de atributo aos Atributos da Opção Binária lista: Um erro de protocolo ocorre se você quiser escrever tal atributo sem a opção binária:
No comments:
Post a Comment