1、ICS 3510070L 79 蝠固中华人民共和国国家标准GBT 1 62644-2008ISOIEC 9594-4:2005信息技术 开放系统互连 目录第4部分:分布式操作规程Information technology-Open Systems Interconnection-The Directory-Part 4:Procedures for distributed operation(ISOIEC 9594 1:2005 Information technology Open SystemsInterconnection The Directory:Procedures for di
2、stributed operation,IDT)20080806发布 20090101实施宰瞀麟紫黼訾镰警瞥星发布中国国家标准化管理委员会仪19GBT 1 62644-2008ISOIEC 95944:2005目 次裁言引言第一篇:综述-1 范围-2规范性引用文件3术语和定义-4缩略语-5约定第二篇:概述-6概述-第三篇:分布式目录模型7分布式目录系统模型-8 DSA交互模型第四篇:DSA抽象服务-9 DSA抽象服务概述-10信息类型11绑定和解绑定-1 2链接操作-13链接差错-第五篇:分布式规程-14概述-15分布式目录行为1 6操作调度程序-1 7请求有效性验证规程-18名(称)解析规程
3、-1 9操作赋值(evaluation)-20连续引用规程-21结果合并规程22分布式鉴别规程-第六篇:知识管理-23知识管理概述-24分等级操作绑定-25非特定分等级操作绑定-附录A(规范性附录) 分布式操作的ASN1定义附录B(资料性附录) 分布式名(称)解析的示例附录c(资料性附录) 鉴别的分布式使用附录D(规范性附录) 分等级和非特定分等级操作绑定类型的规范附录E(资料性附录) 知识维护示例,11_q“嗡“嗡_o喵趵趴毖捣船孔趵药弛町盯珀肌跎跎踮略盯眈叫加玛刖 置GBT 162644-2008ISOIEC 95944:2005GBT】6264在信息技术开放系统互连 目录总标题下,包括以
4、下10个部分:第l部分:概念、模型和服务的概述;第2部分:模型;一第3部分:抽象服务定义;第4部分:分布式操作规程;第5部分:协议规范;第6部分:选定的属性类型;第7部分:选定的客体类;第8部分:公钥和属性证书框架;第9部分:复制(待发布);第10部分:公用目录管理机构的系统管理用法(待发布)。本部分是GBT 16264的第4部分。本部分等同采用国际标准IsOIEc 9594 4:2005(信息技术 开放系统互连 目录 分布式操作规程仅有编辑性修改。本部分代替GBT 1626441996。本部分与GBT 162644 1996的差异在于:增加知识管理;扩展了各章条内容。本部分的附录A和附录D是
5、规范性附录,附录B、附录c和附录E是资料性附录。本部分由中华人民共和国信息产业部提出。本部分由全国信息技术标准化技术委员会归口。本部分起草单位:中国电子技术标准化研究所。本部分主要起草人:徐冬梅、张翠、冯惠、胡顺、刘文治。本部分于1996年首次发布,本次为第一次修订。GBT 162644-2008ISOIEC 9594-4:2005引 言GBT 16264的本部分连同本标准其他部分是为方便信息处理系统之间的互连以提供目录服务而制定的。所有这些系统的集合,连同它们所拥有的目录信息可被视为一个整体,被称为“目录”。目录所拥有的信息,总称为目录信息库(DIB),典型地被用于方便客体之间的通信、与客体
6、的通信或有关客体的通信等这些客体如应用实体、个人、终端和分布列表等。目录在开放系统互连中扮演了重要角色,其目标是,在它们自身的互连标准之外做最少的技术约定的情况下,允许下述各种信息处理系统之问的互连:来自不同生产厂商;具有不同的管理;具有不同的复杂程度,以及有不同的年代。本部分规定了目录各组件进行交互工作所遵循的规程,以便为用户提供一致的服务。本部分提供了一些基础框架,在此框架基础上,其他标准化组织和业界论坛可以定义工业配置集。在这些框架中定义为可选的许多特性可通过配置集的说明,在某种环境下作为必选特性来使用。ISOIEC 9594的第5版是原有国际标准第4版的修订和增强,但不是替代。在系统实
7、现时仍可以声明为符合第4版。然而,在某些方面,将不再支持第4版(即不再消除一些报告上来的差错)。建议在系统实现时尽快符合第5版。第5版详细定义了目录协议的第l版和第2版。第l版和第2版仅定义了协议第1版。本版本(第5版)中定义的许多服务和协议被设计为可运行在第1版下。然而,一些增强的服务和协议,如署名差错,只有包含在操作中的所有的目录条目都协商支持协议第2版时才可运行。无论协商的是哪一版,第5版中所定义的服务之间的差异和协议之间的差异,除了那些特别分配给第2版的外,都可以使用GBT 162645-2008中定义的扩展规则调节。本部分使用术语“第l版系统”来指遵循国际标准第1版的所有系统,即IS
8、OIEC 9594:1990版本;本部分使用术语“第2版系统”来指遵循国际标准第2版本的所有系统,即ISOIEC 9594:1 995版本;本部分使用术语“第3版系统”来指遵循国际标准第3版的所有系统,即ISOIEC 9594:1998版本;本部分使用术语“第4版系统”来指遵循国际标准第4版的所有系统即ISOIEC 9594:2001版本的第1部分到第10部分;本部分使用术语“第5版系统”来指遵循国际标准第5版的所有系统即ISOIEC 9594:2005版本。GBT 162641996是参照ISOIEC 9594:1990而制定的。我国没有制定与国际标准第2版、第3版、第4版对应的国家标准。本
9、部分提到的版本号是指国际标准的版本号。附录A是规范性附录,提供了目录分布式操作的ASN1模块定义。附录B是资料性附录,描述了分布式名(称)解析的一个示例。附录C是资料性附录,描述了分布式操作环境中的鉴别。附录D是规范性附录,提供了本目录规范中引入的ASN1信息客体类的定义。附录E是资料性附录,举例说明了知识的维护。1 范围GBT 1 62644-2008ISOIEC 9594-4:2005信息技术开放系统互连 目录第4部分:分布式操作规程第一篇:综 述GBT 16264的本部分规定涉及分布式目录应用的DSA行为。对于跨越许多DSA的广域DIB,已经设计了允许的行为以确保提供一致的服务。虽然目录
10、可以建立在某种通用的数据库系统之上,但它本身并不属于这样一种通用的数据库系统。目录是在假定查询操作远比更新操作频繁的情况下建立的。2规范性引用文件下列文件中的条款通过GBT 16264的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成坍议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件。其最新版本适用于本部分。GBT 938711998信息技术开放系统互连基本参考模型第1部分:基本模型(idt ISOIEC 7498一I:I 994)GBT 1626212006信息技术 抽象语法记法一(
11、ASN1) 第l部分:基本记法规范(1SOIEC 88241:2002,IDT)GBT l 62622 2006信息技术抽象语法记法一(ASN1) 第2部分:信息客体规范(SOIEC 8824 2:2002,1DT)GBT 1626232006信息技术抽象语法记法一(ASN1) 第3部分:约束规范(ISOIEC8824 3:2002,IDT)GBT】62624 2006信息技术(ISOIEC 8824 4:2002,IDT)GBT 162641 2008信息技术(IS()1EC 95941:2005,IDT)抽象语法记法一(ASN1) 第4部分:ASN1规范的参数化开放系统互连 目录第1部分:
12、概念、模型和服务的概述GBT 1 62642 2008信息技术 开放系统互连 目录 第2部分:模型(IsOIEc 9594 2:2005IDT)GBT 1626432008信息技术 开放系统互连 目录 第3部分:抽象服务定义(IsoIEc95943:2005,IDT)GBT 1 62645 2008信息技术 开放系统互连 目录第5部分:协议规范(IsOIEc 9594 5:2005,IDT)GBT l 62646 2008信息技术开放系统互连 目录第6部分:选定的属性类型(IsOIEc9594 6:20051DT)GBT 1 626472008信息技术 开放系统互连 目录 第7部分:选定的客体
13、类(ISOIEC95947 1 2005,IDT)ISOIEC 95948:2005信息技术开放系统互连 目录:公钥和属性证书框架ISOIEC 9594 9:2005信息技术开放系统互连 目录:复制ISOIEC 959410:2005信息技术开放系统互连 目录:公用目录管理机构的系统管理用法1GBT 162644-2008ISO1EC 95944:2005IETF RFC 2251:1 997轻量级目录访问协议(v3)IETF RFC 3377:2002轻量级目录访问协议(v3):技术规范3术语和定义下列术语和定义适用于GBT 16264的本部分。31通信模型定义本部分使用GBT 162645
14、2008中定义的下列术语:应用实体名称applica;ion entity title;32基本目录定义本部分使用GBT 1626412008中定义的下列术语:a) 目录(the)Directoryb) 目录信息库Directory Inormation Base33目录模型定义本部分使用GBT l 626422008中定义的下列术语:a) 访问点access point;b)别名alias;c) 可辨别名distinguished name;d) 目录信息树(D仃、)Directory IDormation Tee(DIT);e) 目录系统代理(DSA)Directory System Ag
15、ent(DSA);f) 目录用户代理(DUA)Directory UserAgent(DuA)jg) 相关可辨别名relative distinguished name。34 DSA信息模型定义本部分使用GBT 1 62642 2008中定义的下列术语:a) 种类category;b)公共可用的commonly usable;c)上下文前缀context preix;d)交叉引用cross reference;e)DIB片段DIBragmentjf)DSA信息树DSA information tree;g)DSA特定条目(DSE)DSASpecific Entry(DSE);h)DSE类型DS
16、Etypei) 直接上级引用immediate superior reference;j) 知识信息knowledge inormationjk)知识引用种类knowedge reerence category;1) 知识引用类型knowledge reerence type;m)命名上下文naming CODtext;n) 非特定知识DOll-specific knowledge;o) 非特定下级引用non-specific subordinate refefence,p) 操作属性operational attribute;q)引用路径reorencepath;r) 特定知识specifi
17、c knowledge#s)下级引用subordinate re,erenceit)上级引用superior re,erence。,GBT 162644-2008ISOIEC 95944:200535抽象服务定义本部分使用GBT 1626432008中定义的下列术语:a) 流结果streamed result;36目录复制定义本部分使用ISOIEC 95949:2005中定义的下列术语:a)属性完备性attribute completeness;b)影像操作绑定shadowing operational binding;c)下级完备性subordinate completeness;d)复制单
18、元unit ofreplication。37分布式操作定义下列术语和定义适用于本部分。371基本客体base objeet一个客体或别名条目,是发起者所发起的某个操作的目标。372绑定的DSA bound DSA一个DSA,发起请求的DUA通过与该DSA执行一个绑定操作而与之绑定起来。373绑定的DSA的分页结果bound-DSA paged results分页完全由DUA所绑定的DSA来执行。注:这是遵循第5版之前的系统所支持的唯一一种分页模式。374链接chaining单链接或多链接的通用术语。375上下文前缀信息context prefix information上级DSA在一个RHOB
19、中向下级DSA所提供的关于下级上下文前缀的上级DIT顶点的操作信息和用户信息。376分布式名(称)解析distributed name resolution在多于一个的DSA中执行名(称)解析的过程。377DSP分页结果DSP paged results当执行的DSA与绑定的DSA不相同时且由初始执行者完成的分页结果依据DSP协议提供。378差错error由执行者向请求者发送的信息,信息中携带了一个对之前接收到的请求的否定结果。379硬差错hard error一个明确的差错,该差错指示如果没有外部的干预,则操作目前不能被执行。3710分等级操作绑定hierarchical operationa
20、l binding;HOB指两个拥有命名上下文的主DSA之间的关系,其中一个是另一个的直接下级,在该关系中,上级DSA拥有一个指向下级DSA的下级引用。GBT 1626442008IsOIEC 9594-4:20053711初始执行者initial performer开始执行某个操作的第一个DSA,即进入操作赋值阶段的第一个DSA。3712修改操作modification operations指目录修改操作,即修改条目、增加条目、移除条目和修改DN等。3713多链接multi-chaining一种交互模式,在该模式中,自身执行某个请求的DSA向其他DSA的集合发出多个请求,或者是并列的,或者是
21、顺序的。3714多条目查询操作multiple entry interrogation operations指目录搜索操作,即列表和搜索。3715名(称)解析nsine resolution定位某个条目的过程,该过程是通过对声称名(称)的每个RDN与DIT的顶点进行顺序匹配而完成的。3716非特定分等级操作绑定non-specific hierarchical operational binding;NHOB指两个拥有命名上下文的主DSA之间的关系,其中一个是另一个的直接下级在该关系中,上级DSA拥有一个指向下级DSA的非特定下级引用。3717分解NSSR decomposition NSSR
22、将非特定知识引用分解为多个子请求以便于其他DSA能够继续执行;这些子请求可以被执行该分解的DSA链接到其他DSA;或者可以将标识了其他DSA的一个连续引用返回给请求者,由请求者来继续执行;或者执行分解的DSA可以继续执行某些子请求,而留下其他子请求交给请求者来继续执行。3718操作进展operation progress一系列的值,指示了名(称)解析所完成的程度。3719发起者originator发起一个特定的(分布式)操作的DUA。3720分页paging以一页或多页的分段方式返回的搜索或列表操作的结果,每页都由有限数量的条目组成。3721执行者performer接收了某个请求的DSA(即将
23、执行某个操作)。注:执行者也是初始执行者除非对于可以包括多个DSA进行赋值的操作。3722规程procedure关于DSA如何将给定的输入变元集及其DSA信息树映射为一个结果的个(非正式)规范。注:输入变元和结果可以对应为从一个被请求的操作中接收到的信息和在一个答复中发送的信息,或者它们可以表示根据一个被请求的操作而对答复进行计算的中间阶段。在142,前面一种输入变元和结果类型被称为是外部的。4GBT 162644-2008ISO1EC 9594-4:20053723相关的分等级操作绑定relevant hierarchical operational binding;RHOB或者是指一个HO
24、B,或者是指一个NHOB,依赖于上下文。3724转向推荐referral自己不能执行某个操作的DSA返回的一种结果,标识了一个或多个可以执行此操作的其他DSA。3725答复reply一个结果或一个差错。3726请求request由一个操作代码和相关变元所组成的信息,表示从请求者向执行者所发起的一个目录操作。3727请求分解requt decomposition将一个请求分解为多个子请求以便于其他DSA能够继续执行;这些子请求可以被执行分解的DSA链接到其他DSA;或者可以将标识了其他DSA的连续引用返回给请求者,由请求者来继续执行;或者执行分解的DSA可以继续执行某些子请求,而留下其他子请求交
25、给请求者来继续执行。3728请求者requester发送一个请求以便执行(即调用)某个操作的一个DUA或DSA。3729单条目查询操作single entry interrogation operations指目录阅读操作,即阅读和比较操作。3730软差错soft error一个差错,可以是瞬时的,也可以指示了一个局部的问题,在这种情况下,使用一个不同的知识引用或访问点可获得一个结果或一个硬差错。3731下级DSA subordinate DSA共享一个HOB或一个NHOB的两个DSA中,其中拥有下级命名上下文的那个DSA。3732子请求subrequest通过请求分解而产生的一个请求。373
26、3上级DSA superior DSA共享一个HOB或一个NHOB的两个DSA中,其中拥有上级命名上下文的那个DSA。3734上级、下级DSA superior,subordinate DSA两个拥有命名上下文的主DSA,其中一个是另一个的直接下级;这两个DSA之间的关系可以通过一个HOB(或NHOB)来显式地管理,或者依靠上级DSA来隐含存在该上级DSA拥有一个指向下级DSA的下级引用(或非特定下级引用)。5GBT 162644-2008ISOIEC 9594-4:20053735目标客体名target object name一个条目的名(称),该条目或者是操作在名(称)解析的某个特定阶段所
27、指向的客体,或者是包含在操作赋值中。3736单链接unichaining某个自身不能直接执行操作的DSA可选使用的一种交互模式。DSA的链接是通过调用另一个DSA的某个操作,并且将结果再转发给初始请求者来完成的。4缩略语下列缩略语适用于GBT 16264的本部分:ASN1 抽象语法标记一DISP 目录信息影像协议DMD 目录管理域DOP 目录操作绑定管理协议DSE DSA特定条目HOB 分等级操作绑定NHOB 非特定的分等级操作绑定NSSR 非特定下级引用RHOB 相关的分等级操作绑定5约定术语“目录规范(或本目录规范)”指的是GBT 162644。术语“系列目录规范”指的是GBT 16264
28、(或者ISOIEC 9594)的所有部分。本目录规范使用术语“第1版系统”来指遵循系列目录规范第1版的所有系统,即GBT 162641996版本。本目录规范使用术语“第2版系统”来指遵循系列目录规范第2版本的所有系统,即ISOIEC 9594:1995版本。本目录规范使用术语“第3版系统”来指遵循系列目录规范第3版的所有系统,即ISOIEC 9594:1998版本。本目录规范使用术语“第4版系统”来指遵循系列目录规范第4版的所有系统,即ISOIEC 9594:2001版本的第1部分到第10部分。本目录规范使用术语“第5版系统”来指遵循系列目录规范第5版的所有系统,即GBT 162642008版
29、本的第1部分到第7部分以及ISO1EC 9594 8:2005、ISOIEC 95949:2005和ISOIEC 959410:2005。本目录规范使用粗体字来表示ASN1符号。若在常规文本中要表示ASN1的类型和值时,为了区别于常规文本使用了粗体字表示。为了表示过程的语义而引用过程名时,为了区别于常规文本,使用了粗体字表示。访问控制许可使用斜体字表示。第二篇:概 述6概述目录抽象服务允许对DIB中的目录信息进行查询、获取和修改。该服务按照GBT 1 64243中规定的抽象目录客体来进行描述。类似的,轻量级目录访问协议(LDAP)允许对DIB中的目录信息进行查询、获取和修改。该协议以及它所允许
30、的服务在RFC 3377中规定。必要地,抽象目录客体的规范没有以任何方式指定目录的物理实现:尤其是它没有指定目录系统代理(DSA)的规范这些DSA存储了DIB并对DIB进行管理,并且通过DSA提供服务。另外,它没有考6GBT 162644-2008ISOIEC 95944:2005虑DIB是否是分布式的,即DIB是包含在一个单独的DSA内,还是分布在多个DSA内。因此,为了在一个分布式环境中支持抽象服务,需要DSA具有其他DSA的知识,能够导航到其他DSA,并且与其他DSA进行合作等,这些需求也没有涵盖在服务描述中。本目录规范对抽象目录客体进行了细化,这种细化通过一个或多个DSA客体集来表示,
31、这些DSA客体共同构成了分布的目录服务。另外,本目录规范规定了DIB可被分布到一个或多个DSA内的允许的方式。对于某种受限情况,即DIB包含在一个单独的DSA内,这种情况下目录实际上是集中式的;对于DIB分布在两个或多个DSA内的情况,则规定了知识和导航机制以确保所有的拥有组成条目的DSA能够潜在地访问到整个DIB。DIB的一部分内容也可在多个DSA内被复制。本目录规范中描述的协议允许使用复制信息来提高分布式目录服务的可用性、性能和效率。复制信息的使用在某种程度上是在用户的控制之下的,通过使用服务控制选项来实现。本目录规范中描述的规程也指示了在使用复制信息时进行设计最优化的某些时机。另外也规定
32、了请求处理的交互,使得特定的目录操作特性能够被它的用户所控制。尤其是当DSA要响应一个与其他DSA中拥有的信息相关的目录请求时,用户能够控制一个DSA是否拥有直接查询其他DSA的权力(即链接),或者它是否应当在响应中提供其他能够继续处理请求的DSA的信息(即转向推荐)。一般来说,一个DSA是进行链接还是转向推荐的决定是根据用户所设置的服务控制,以及DSA的自身管理、操作或技术环境来决定的。应当意识到的是,一般来说,目录将是分布式的,因此目录请求将由任意数量的合作DSA来满足,这些DSA根据上述的条件可以是任意地进行链接或转向推荐,本目录规范规定了DSA在响应分布式目录请求时所采用的适当的规程。
33、这些规程将确保分布式目录服务的用户能够感觉到规程既是用户友好的,又是协调一致的。第三篇:分布式目录模型7分布式目录系统模型目录抽象服务,如在GBT 162643中定义的那样,将目录建模为一个客体,该客体向其用户提供了一系列的目录服务。目录用户通过一个访问点来访问它所提供的服务。目录可以拥有一个或多个访问点,且每个访问点都通过它所提供的服务以及提供这些服务的交互模式来描述其特性。图1举例说明了分布式目录模型,该模型将作为规定目录分布特性的基础。它举例说明了由一个或多个DSA的集合所组成的目录。图1 分布式目录模型中的客体GBT 1626442008ISOIEC 9594-4:2005在本目录规范
34、的后续章条中将详细规定DSA。本章仅仅陈述一些它们的特性作为介绍性引言,同时建立本目录规范和其他目录规范之间的关系。DSA的定义是为了能够适应D1B的分布,且一系列的在物理上分布的DSA能够以一种预定义的、合作的方式进行交互来向目录用户(DuA或I,DAP客户机)提供目录服务。图1举例说明了目录抽象服务和DSA抽象服务之间的关系。目录抽象服务在GBT 162643中定义是通过一系列的目录操作来提供的。为了实现该服务,组成目录的各DSA之间需要相互交互。这种交互的自然特性是根据一个DSA可以向另一个DSA所提供的服务来定义的即DSA抽象服务。DSA抽象服务是通过一系列的操作来提供的这些操作被称为
35、链接操作,每个操作都在目录抽象服务中拥有一个对应操作。因此,在目录抽象服务中给定的一个操作,如阅读,可要求提供服务的DSA通过使用链接操作来与其他的一个或多个DSA进行交互,如链接阅读。注:对于作为LDAP请求者的DSA来说进行链接操作也是可能的,例如,使用LDAP控制或扩展操作;然而,完成这些的规程和协议不在本目录规范的定义范围之内。8 DSA交互模型目录的一个基本特性是,给定一个分布式DIB,一个用户应当潜在地能够被满足任何服务请求(在符合安全性、访问控制和管理策略等的前提下),而不论请求所发起的访问点。为了适应此需求,必要的是任何一个与满足某个特定服务请求相关的DSA都应拥有被请求的信息
36、位于何处的知识(在GBT1626422008中指定),并且,或者将这些知识返回给请求者,或者试图自己来满足此请求(请求者可以是一个DUA、一个LDAP客户机或其他的DSA:在后一种情况下,两个DSA都应支持DSP)。定义了三种DSA交互模式以便符合这些需求,这三种模式被称为“单链接”,“多链接”和“转向推荐”。在本目录规范的后续部分,使用通用术语“链接”在适当的上下文中来表示单链接和或多链接。“链接”指的是DSA为了满足某个请求,而向另一个DSA发送一个或多个链接操作;“转向推荐”指的是向请求者返回知识信息,于是请求者自身可以再与知识信息中所标识的DSA进行交互。单链接或转向推荐交互可源于一个
37、单独的请求。可选的,请求可以在交互之前被分解为多个子请求。多链接或多转向推荐交互,或两者的混合,可能源自分解后的请求。定义了两种分解类型:NSSR分解和请求分解。81一个请求的分解811 NSSR分解NSSR分解是将同样的请求准备成便于传送到(或者是顺序的,或者是并行的)多个下级DSA中去的过程,这是在名(称)解析的过程中遇到一个NSSR的结果。非特定下级引用中不包含被引用的下级命名上下文的RDN,因此,引用的DSA不能够区分哪个下级DSA拥有哪个下级命名上下文。因此,在名(称)解析过程中,一个遇到NSSR的DSA应向每个下级DSA(在没有影像的情况下)发送一个同样的请求。这可以是顺序执行的,
38、也可以是并行执行的。典型地仅有一个DSA能够继续执行名(称)解析;丽其余DSA将返回一个问题为unableToProceed的serviceError。在某种(很少)情况下,有可能有多个DSA将继续进行名(称)解析,由此导致了双重结果。注:NSSR不能引用LDAP服务器。812请求分解请求分解,另一种分解请求的方式,是在DSA与其他一个或多个DSA和或LDAP服务器通信之前,由DSA内部执行的一个过程。一个请求被分解为多个可能不同的子请求,因此每个子请求完成原始任务的一部分。请求分解能够仅被用于列表或搜索操作的操作赋值过程中。在请求分解完成后,每个子请求可以被链接到其他DSA和或LDAP服务器
39、以便继续任务的执行,或者可有个局部结果(一个内嵌的转向推荐)返回给请求者。同一个子请求被产生到不同的DSA和或LDAP服务器中的一个示例为:某个条目具有下级引用和或NSSR,且共同引用了多个DSA或LDAP服务器。不同的子请求被产生到相同的或不同的DSA和或I,DAP服务器中的一个示例为:两个不同的条目在某个搜索8GBT 1 62644-2008ISOIEC 9594-4:2005(子树)的操作中相遇,且每个都拥有一个下级引用。82单链接当一个DSA具有另一个DSA所拥有的命名上下文的知识时,第一个DSA可使用这种交互模式(图2中显示)将请求传递给第二个DSA。单链接可用于与某个单独的DSA联
40、系,该DSA是在交叉引用、下级引用、上级引用、提供者引用或主引用中被指向的DSA。注:在图2中,交互的顺序由交互线上相关联的数字来定义。图2单链接模式83多链接DSA使用这种交互模式来传递多个出请求,这些出请求来自于同一个人请求,或者是请求分解的结果,或者是NSSR分解的结果。831并行多链接在并行多链接情况下,DSA将多个出请求同步进行传递(见图3a)。并行多链接可带来性能的提高,但同时它也可以在某种环境下,如在影像存在时,导致接收到复制结果。圉3a)并行多链接832顺序多链接在顺序多链接情况下,DSA在一个时间点传递一个出请求,并且在发送下一个请求前等待此请求的结果或差错(见图3b)。顺序
41、多链接可以不是种最快的交互模式,但同时它也不可以导致接收到复制结果。注:一个DSA可以联合使用并行多链接和顺序多链接。9GBT 162644-2008ISO1EC 9594-4:2005,弋弋乡3不能继续。图3b)顺序多链接(NSSR分解的结果)84转向推荐DSA可以在响应从某个DUA、LDAP客户机或其他DSA发来的请求时,返回一个转向推荐(在图4a)和图4b)中描述)。转向推荐可构成整个响应(在这种情况下,它被分类为一种差错)或者仅仅是响应的一部分。转向推荐包含了知识引用,该知识引用可以是一个上级引用、下级引用、交叉引用、非特定下级引用,提供者引用或主引用等。接收到转向推荐的DSA(见图4
42、a)可使用包含在转向推荐中的知识引用来进行随后的链接或多播(依赖于引用的类型),将一个原始请求链接或多播到其他的DSA。可选的,接收到转向推荐的DSA,可在其响应中依次传递转向推荐。接收到转向推荐的一个DUA或LDAP客户机(见图4b)可使用该转向推荐来与一个或多个其他DSA联系以便继续执行请求。注:在图4a)和图4b)中,交互的顺序由交互线上相关联的数字来定义。108转向推荐到B。6转向推荐到C。图4a) 转向推荐模式(DSA根据转向推荐执行动作)GBT 162644-2008ISOIEC 95944:20058转向推荐到E。6转向推荐到F。图4b) 转向推荐模式(DUA根据转向推荐执行动作
43、)85模式的决定如果一个DSA自身不能完全地解决一个请求,则它应将该请求(或通过分解原始请求而形成的一个请求)链接到另一个DSA,除非:a)用户通过服务控制禁止链接,在这种情况下,DSA应返回一个转向推荐或一个问题为chainingRequired的servJceETror或者b)DSA由于管理、操作或技术等方面的原因倾向于不进行链接,在这种情况下,DSA应返回一个转向推荐。注1:不进行链接的一个“技术原因”是在知识引用中标识的DSA不支持DSP。注2:如果服务控制localScope被设置,则DSA(或DMD)应或者解决该请求,或者返回一个差错。注3:如果用户更希望转向推荐则用户应设置cha
44、iningProhibited。第四篇:DSA抽象服务9 DSA抽象服务概述目录服务在GBT 1 626432008中有全面描述。当这样的一个服务在分布式环境中提供时,如第7章中的建模,它可以被认为是通过一系列的DSA来提供的。如图l中所示。对于目录服务中定义的每个操作,在DSA抽象服务中都定义了一个相应的“链接”操作,在完成目录服务操作中合作的DSA之间可以使用这些操作。这样,一个从DUA处接收到阅读操作的DSA可请求另一个DSA的协助(例如,另一个DSA中拥有目标条目或其拷贝)来满足此操作,因此会向此DSA发送一个链接阅读操作。在DSA抽象服务中交互的信息类型在第10章定义。DSA抽象服务
45、的操作和差错在第11章到第13章定义。10信息类型101引言 本章标识同时在某些情况下定义在后续的DSA抽象服务的各种操作定义中所使用的一系列信息类型。这些涉及到的信息类型包括:对于多个操作而言是通用的信息类型,或者将来可以是通用的信息类型,或者是足够复杂或自包含的信息,需要与使用它们的操作分别定义。在DSA抽象服务的定义中使用的多个信息类型实际上是在别处定义的。102标识了这些类型,并且指示了它们的定义来源。103到1010分别标识并定义了一个信息类型。11GBT 162644-2008ISOIEC 95944:2005102其他地方定义的信息类型下列信息类型在GBT 162642 2008中定义:-aliasedEntryName;-DistinguishedNameName:-RelativeDistinguishedName。下列信息类型在GBT 1626432008中定义:(绑定)DireetoryBind。(操作)Abandon。(差错)abandoned:attributeError;nameErrorlsecurityError;serviceError;updateError。(信息客体类)OPTIONALLYP
