当翻訳版は、訳者 Tatsuya Nonogaki (Stray Penguin) が私的に日本語訳したものであり、第三者によるいかなる監修もアドバイスも受けたものではなく、いかなる権威者 (any authority) に正式に認められたものではありません。
Network Working Group M. Smith, Ed. Request for Comments: 4515 Pearl Crescent, LLC Obsoletes: 2254 T. Howes Category: Standards Track Opsware, Inc. June 2006
This document specifies an Internet standards track protocol for the
Internet community, and requests discussion and suggestions for
improvements. Please refer to the current edition of the "Internet
Official Protocol Standards" (STD 1) for the standardization state
and status of this protocol. Distribution of this memo is unlimited.
当文書は、インターネットコミュニティ向けに標準化を目指すひとつのインタ
ーネットプロトコルを定義するとともに、これをさらに改善するための議論と
提案を乞うものである。当プロトコルが現在、標準化過程のどの段階にあり、
いかなる状態にあるかについては、最新の「Internet Official Protocol
Standards」 (STD 1) を参照していただきたい。当文書の配布に制限はない。
Copyright (C) The Internet Society (2006).
Lightweight Directory Access Protocol (LDAP) search filters are
transmitted in the LDAP protocol using a binary representation that
is appropriate for use on the network. This document defines a
human-readable string representation of LDAP search filters that is
appropriate for use in LDAP URLs (RFC 4516) and in other
applications.
Lightweight Directory Access Protocol (LDAP) の検索フィルタは、LDAP
プロトコルに乗せられて、ネットワーク上での利用に適すようバイナリの形
で伝送される。当文書は、LDAP URL (RFC 4516) 及びその他の用法に利用で
きるよう、人の読める文字列として捉えたLDAP検索フィルタを定義する。
1. Introduction ....................................................2
2. LDAP Search Filter Definition ...................................2
3. String Search Filter Definition .................................3
4. Examples ........................................................5
5. Security Considerations .........................................7
6. Normative References ............................................7
7. Informative References ..........................................8
8. Acknowledgements ................................................8
Appendix A: Changes Since RFC 2254 .................................9
A.1. Technical Changes ..........................................9
A.2. Editorial Changes ..........................................9
1. はじめに ........................................................2
2. LDAP検索フィルタの定義 ..........................................2
3. 文字列検索フィルタの定義 ........................................3
4. 例 ..............................................................5
5. セキュリティに関する考察 ........................................7
6. 引用の参照先 ....................................................7
7. 情報の参照先 ....................................................8
8. 謝辞 ............................................................8
付録 A: RFC 2254 からの変更点 ......................................9
A.1. 技術的変更 .................................................9
A.2. 文書的変更 .................................................9
The Lightweight Directory Access Protocol (LDAP) [RFC4510] defines a
network representation of a search filter transmitted to an LDAP
server. Some applications may find it useful to have a common way of
representing these search filters in a human-readable form; LDAP URLs
[RFC4516] are an example of one such application. This document
defines a human-readable string format for representing the full
range of possible LDAP version 3 search filters, including extended
match filters.
Lightweight Directory Access Protocol (LDAP) [RFC4510] は、検索フィルタ
を、 LDAPサーバに伝送される際のネットワークの面から定義している。用法に
よっては、そうした検索フィルタを、人の読める形で表す際の表し方を共通認識
化しておくことが役に立つ場合もある; そうした用法のひとつが LDAP URL
[RFC4516] である。当文書では、LDAP version 3 の、拡張検索フィルタを含む
あらゆる検索フィルタについて、人の読める文字列としてのフォーマットの定義
を行う。
This document is a integral part of the LDAP technical specification
[RFC4510], which obsoletes the previously defined LDAP technical
specification, RFC 3377, in its entirety.
当文書は LDAPの技術仕様書 [RFC4510] の一部として位置づけられる。RFC 4510
は RFC 3377 を全面的に置き換え廃版とする。
This document replaces RFC 2254. Changes to RFC 2254 are summarized
in Appendix A.
当文書は RFC 2254 に代わるものである。 RFC 2254 からの変更点は付録 A
にまとめてある。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
document are to be interpreted as described in BCP 14 [RFC2119].
文書内で用いている「しなければならない」(MUST)、「してはならない」
(MUST NOT)、「必須である」(REQUIRED)、「するものとする」(SHALL)、
「しないものとする」(SHALL NOT)、「なるべくすべきである」(SHOULD)、
「なるべくすべきでない」(SHOULD NOT)、「推奨される」(RECOMMENDED)、
「しても構わない」(MAY) 及び「任意である」(OPTIONAL) というキーワード
は、BCP 14 [RFC2119] の規定に倣って解釈されることを前提としている。
An LDAP search filter is defined in Section 4.5.1 of [RFC4511] as
follows:
LDAP検索フィルタは、[RFC4511] のセクション 4.5.1 において以下のように
定義されている:
Filter ::= CHOICE { and [0] SET SIZE (1..MAX) OF filter Filter, or [1] SET SIZE (1..MAX) OF filter Filter, not [2] Filter, equalityMatch [3] AttributeValueAssertion, substrings [4] SubstringFilter, greaterOrEqual [5] AttributeValueAssertion, lessOrEqual [6] AttributeValueAssertion, present [7] AttributeDescription, approxMatch [8] AttributeValueAssertion, extensibleMatch [9] MatchingRuleAssertion }
[理解を助けるための無理矢理訳]
フィルタ ::= 以下より選択 {
and [0] フィルタの大きさ (1〜) を決める,
or [1] フィルタの大きさ (1〜) を決める,
not [2] フィルタ,
等価マッチ [3] 属性値の投入,
部分文字列 [4] 文字列の一部をマッチさせるフィルタ,
以上 [5] 属性値の投入,
以下 [6] 属性値の投入,
存在 [7] 属性の性状,
近似マッチ [8] 属性値の投入,
拡張マッチ [9] マッチングルールの投入 }
SubstringFilter ::= SEQUENCE { type AttributeDescription, -- initial and final can occur at most once substrings SEQUENCE SIZE (1..MAX) OF substring CHOICE { initial [0] AssertionValue, any [1] AssertionValue, final [2] AssertionValue } }
[理解を助けるための無理矢理訳]
部分文字列マッチ ::= 連続的に出現 {
type 属性の性状,
-- 開始値及び終了値は多くとも一度しか出現できない
部分文字列 文字列の一部のひとつながりの部分のサイズ (1〜)。 以下より選択 {
開始値 [0] 投入値,
幾つでも [1] 投入値,
終了値 [2] 投入値 } }
AttributeValueAssertion ::= SEQUENCE { attributeDesc AttributeDescription, assertionValue AssertionValue }
[理解を助けるための無理矢理訳]
属性値の投入 ::= 連続的に出現 {
属性の性状 属性の性状,
投入値 投入値 }
MatchingRuleAssertion ::= SEQUENCE { matchingRule [1] MatchingRuleId OPTIONAL, type [2] AttributeDescription OPTIONAL, matchValue [3] AssertionValue, dnAttributes [4] BOOLEAN DEFAULT FALSE }
[理解を助けるための無理矢理訳]
マッチングルールの投入 ::= 連続的に出現 {
マッチングルール [1] マッチングルールのID 省略可能,
type [2] 属性の性状 省略可能,
マッチの値 [3] 投入値,
dnの属性 [4] 真偽値 デフォルトはFALSE }
AttributeDescription ::= LDAPString -- Constrained to <attributedescription> -- [RFC4512]
[理解を助けるための無理矢理訳]
属性の性状 ::= LDAP文字列
-- <属性の性状> に対する制約
-- [RFC4512]
AttributeValue ::= OCTET STRING
[理解を助けるための無理矢理訳]
属性の値 ::= 8進法の文字列
MatchingRuleId ::= LDAPString
[理解を助けるための無理矢理訳]
マッチングルールのID ::= LDAP文字列
AssertionValue ::= OCTET STRING
[理解を助けるための無理矢理訳]
投入値 ::= 8進法の文字列
LDAPString ::= OCTET STRING -- UTF-8 encoded, -- [Unicode] characters
[理解を助けるための無理矢理訳]
LDAP文字列 ::= 8進法の文字列 -- UTF-8 でエンコード,
-- [Unicode]文字の集まり
The AttributeDescription, as defined in [RFC4511], is a string
representation of the attribute description that is discussed in
[RFC4512]. The AttributeValue and AssertionValue OCTET STRING have
the form defined in [RFC4517]. The Filter is encoded for
transmission over a network using the Basic Encoding Rules (BER)
defined in [X.690], with simplifications described in [RFC4511].
「属性の性状」とは、[RFC4511] で定義されている通り、或る属性を文字列
で表現したものであり、それについては [RFC4512] で論じられている。8進法
の文字列である「属性の値」と「投入値」は [RFC4517] の定義する形態を採る。
「フィルタ」は、ネットワーク上での伝送に適すよう、[RFC4511]の定義する
単純化処理を経て、[X.690] の定義する「基本的符号化法則」(BER) によって
エンコードされる。
The string representation of an LDAP search filter is a string of
UTF-8 [RFC3629] encoded Unicode characters [Unicode] that is defined
by the following grammar, following the ABNF notation defined in
[RFC4234]. The productions used that are not defined here are
defined in Section 1.4 (Common ABNF Productions) of [RFC4512] unless
otherwise noted. The filter format uses a prefix notation.
文字列として捉えた LDAP検索フィルタは、UTF-8 [RFC3629] でエンコードさ
れた Unicode文字の集まり [Unicode] であり、ABNF表現法 [RFC4234] に則っ
て表すと、その書式は下記のような定義となる。ここで定義していない事象に
ついては、特に断り書きのない限り、[RFC4512] のセクション 1.4
(「汎用ABNF表現法」) に定義されたものである。フィルタフォーマットには
前置表記法を用いている。
filter = LPAREN filtercomp RPAREN filtercomp = and / or / not / item and = AMPERSAND filterlist or = VERTBAR filterlist not = EXCLAMATION filter filterlist = 1*filter item = simple / present / substring / extensible simple = attr filtertype assertionvalue filtertype = equal / approx / greaterorequal / lessorequal
equal = EQUALS approx = TILDE EQUALS greaterorequal = RANGLE EQUALS lessorequal = LANGLE EQUALS extensible = ( attr [dnattrs] [matchingrule] COLON EQUALS assertionvalue ) / ( [dnattrs] matchingrule COLON EQUALS assertionvalue ) present = attr EQUALS ASTERISK substring = attr EQUALS [initial] any [final] initial = assertionvalue any = ASTERISK *(assertionvalue ASTERISK) final = assertionvalue attr = attributedescription ; The attributedescription rule is defined in ; Section 2.5 of [RFC4512]. dnattrs = COLON "dn" matchingrule = COLON oid assertionvalue = valueencoding ; The <valueencoding> rule is used to encode an <AssertionValue> ; from Section 4.1.6 of [RFC4511]. valueencoding = 0*(normal / escaped) normal = UTF1SUBSET / UTFMB escaped = ESC HEX HEX UTF1SUBSET = %x01-27 / %x2B-5B / %x5D-7F ; UTF1SUBSET excludes 0x00 (NUL), LPAREN, ; RPAREN, ASTERISK, and ESC. EXCLAMATION = %x21 ; exclamation mark ("!") AMPERSAND = %x26 ; ampersand (or AND symbol) ("&") ASTERISK = %x2A ; asterisk ("*") COLON = %x3A ; colon (":") VERTBAR = %x7C ; vertical bar (or pipe) ("|") TILDE = %x7E ; tilde ("~")
[理解を助けるための無理矢理訳]
フィルタ = 左括弧 フィルタ要素 右括弧
フィルタ要素 = 且つ / または / でない / 要素
且つ = アンパサンド記号 フィルタリスト
または = 縦棒記号 フィルタリスト
でない = エクスクラメーション記号 フィルタリスト
フィルタリスト = 1*フィルタ
要素 = 単純 / 存在 / 部分文字列 / 拡張
単純 = 属性 フィルタタイプ 投入値
フィルタタイプ = 等価 / 近似 / 以上 / 以下
等価 = イコール記号
近似 = ティルダ イコール記号
以上 = 右括弧 イコール記号
以下 = 左括弧 イコール記号
拡張 = ( 属性 [dn属性]
[マッチングルール] コロン記号 イコール記号 投入値 )
/ ( [dn属性]
マッチングルール コロン記号 イコール記号 投入値 )
存在 = 属性 イコール アスタリスク記号
部分文字列 = 属性 イコール記号 開始値 幾つでも 終了値
開始値 = 投入値
幾つでも = アスタリスク記号 *(投入値 アスタリスク記号)
終了値 = 投入値
属性 = 属性の性状
; 属性の性状については
; [RFC4512]のセクション2.5が定義している
dn属性 = コロン記号 "dn"
マッチングルール = コロン記号 oid
投入値 = 値の符号化方式
; <値の符号化方式> ルールは、[RFC4511] セクション4.1.6 に従い
; 然るべき <投入値> を符号化する際に用いる。
値の符号化方式 = 0*(通常 / エスケープ済み)
通常 = UTF1のサブセット / UTFマルチバイト
エスケープ済み = エスケープ記号 8進 エスケープ記号
UTF1サブセット = %x01-27 / %x2B-5B / %x5D-7F
; UTF1サブセットは 0x00 (NUL), 左括弧記号,
; 右括弧記号, アスタリスク記号, エスケープ記号を除く。
エクスクラメーション記号 = %x21 ; エクスクラメーション ("!")
アンパサンド記号 = %x26 ; アンパサンド (つまり アンド記号) ("&")
アスタリスク記号 = %x2A ; アスタリスク ("*")
コロン記号 = %x3A ; コロン (":")
縦棒記号 = %x7C ; 縦棒 (つまり パイプ記号) ("|")
ティルダ記号 = %x7E ; ティルダ ("~")
Note that although both the <substring> and <present> productions in
the grammar above can produce the "attr=*" construct, this construct
is used only to denote a presence filter.
留意点であるが、上述した書式の中で <部分文字列> と <存在> の両事象は
いずれも "属性=*" という構造を作り出すことが可能だが、この構造は存在
フィルタを表す時にのみ用いられる。
The <valueencoding> rule ensures that the entire filter string is a
valid UTF-8 string and provides that the octets that represent the
ASCII characters "*" (ASCII 0x2a), "(" (ASCII 0x28), ")" (ASCII
0x29), "\" (ASCII 0x5c), and NUL (ASCII 0x00) are represented as a
backslash "\" (ASCII 0x5c) followed by the two hexadecimal digits
representing the value of the encoded octet.
<値の符号化方式>ルールによって、フィルタ文字列全体は、正当な UTF-8
文字列であることが確約される。これにより、SCSII文字 "*" (ASCII 0x2a),
"(" (ASCII 0x28), ")" (ASCII 0x29), "\" (ASCII 0x5c), NUL (ASCII 0x00)
を表す 8進表現値は、バックスラッシュ "\" (ASCII 0x5c) と、それに続く、
8進表現値をエンコードした値を示すふたつの 16進数字として表される。
This simple escaping mechanism eliminates filter-parsing ambiguities
and allows any filter that can be represented in LDAP to be
represented as a NUL-terminated string. Other octets that are part
of the <normal> set may be escaped using this mechanism, for example,
non-printing ASCII characters.
このエスケープメカニズムによって、フィルタのパースにおける曖昧さが排除され、
LDAP で現出するあらゆるフィルタを、終端をNULで閉じた文字列として表すことが
可能となる。<通常>セットに属するその他の 8進表現値にもこのメカニズムは適用
できる。例えば、非表示用ASCII文字がこれにあたる。
For AssertionValues that contain UTF-8 character data, each octet of
the character to be escaped is replaced by a backslash and two hex
digits, which form a single octet in the code of the character. For
example, the filter checking whether the "cn" attribute contained a
value with the character "*" anywhere in it would be represented as
"(cn=*\2a*)".
UTF-8 文字データを含む投入値に対しては、エスケープしようとする文字の各オク
テットがバックスラッシュとふたつの 16進数字に置き換えられ、それが当該文字
のコードの中のオクテットひとつを形成する。例えば、"cn"属性がそのどこかに
"*" の文字を含んでいるかどうかを調べるフィルタであれば、"(cn=*\2a*)" と表
されることになる。
As indicated by the <valueencoding> rule, implementations MUST escape
all octets greater than 0x7F that are not part of a valid UTF-8
encoding sequence when they generate a string representation of a
search filter. Implementations SHOULD accept as input strings that
are not valid UTF-8 strings. This is necessary because RFC 2254 did
not clearly define the term "string representation" (and in
particular did not mention that the string representation of an LDAP
search filter is a string of UTF-8-encoded Unicode characters).
<値の符号化方式>ルールが示すのは、実装の際には、正当な UTF-8 エンコード
シーケンスに属していない 0x7F 超の 8進値は、検索フィルタ文字列の生成時に
おいて全てエスケープされなければならない (MUST) ということである。実装は、
インプットとしては、正当でない UTF-8 もなるべく受け入れるようにすべきで
ある (SHOULD)。これは RFC 2254 が「文字列としての表記」という項目 (具体的
には、LDAP検索フィルタが UTF-8 エンコードの Unicode文字の集まりであるとい
う点) を明確に定義しなかったからである。
This section gives a few examples of search filters written using
this notation.
このセクションでは、当表記法に則って表記した検索フィルタの例を、少々
ながら示す。
(cn=Babs Jensen) (!(cn=Tim Howes)) (&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*))) (o=univ*of*mich*) (seeAlso=)
The following examples illustrate the use of extensible matching.
以下の例は、拡張マッチングを具体的に説明したものだ。
(cn:caseExactMatch:=Fred Flintstone) (cn:=Betty Rubble) (sn:dn:2.4.6.8.10:=Barney Rubble) (o:dn:=Ace Industry) (:1.2.3:=Wilma Flintstone) (:DN:2.4.6.8.10:=Dino)
The first example shows use of the matching rule "caseExactMatch."
最初の例は、マッチングルール「大文字小文字に厳格なマッチ」の使い方。
The second example demonstrates use of a MatchingRuleAssertion form
without a matchingRule.
2番目の例は、マッチングルールのない「マッチングルールの投入」書式の
使い方を示している。
The third example illustrates the use of the ":oid" notation to
indicate that the matching rule identified by the OID "2.4.6.8.10"
should be used when making comparisons, and that the attributes of an
entry's distinguished name should be considered part of the entry
when evaluating the match (indicated by the use of ":dn").
3番目の例は、":oid" 表記法の使い方の説明である。これは、比較に際して
OID "2.4.6.8.10" というマッチングルールを使い、また、マッチの評価に
際してはエントリの識別名 (dn) の持つ属性をエントリの一部と見なせ
(":dn"の使用がこれを示す)、と指示している。
The fourth example denotes an equality match, except that DN
components should be considered part of the entry when doing the
match.
4番目の例は、等価マッチを示している。ただし、マッチに際して DN の構成
要素はエントリの一部と見なせ、と指示している。
The fifth example is a filter that should be applied to any attribute
supporting the matching rule given (since the <attr> has been
omitted).
5番目の例は、与えたマッチングルールを、サポートしている全ての属性に対
して適用せよ、というフィルタだ (<属性>を省略してあるので)。
The sixth and final example is also a filter that should be applied
to any attribute supporting the matching rule given. Attributes
supporting the matching rule contained in the DN should also be
considered.
6番目つまり最後のものも、サポートしている全ての属性に適用せよという
フィルタである。 DN に含まれる、マッチングルールをサポートする全ての
属性についても検討させている。
The following examples illustrate the use of the escaping mechanism.
以下の例はエスケープメカニズムの具体例を示している。
(o=Parens R Us \28for all your parenthetical needs\29) (cn=*\2A*) (filename=C:\5cMyFile) (bin=\00\00\00\04) (sn=Lu\c4\8di\c4\87) (1.3.6.1.4.1.1466.0=\04\02\48\69)
The first example shows the use of the escaping mechanism to
represent parenthesis characters. The second shows how to represent
a "*" in an assertion value, preventing it from being interpreted as
a substring indicator. The third illustrates the escaping of the
backslash character.
最初の例は、エスケープメカニズムにおける括弧の表記法を示している。2番目
のものは投入値に含まれる "*" の表し方を示しており、"*" が部分文字列記号
として解釈されないようにしている。3番目はバックスラッシュ文字のエスケープ
方法を示している。
The fourth example shows a filter searching for the four-octet value
00 00 00 04 (hex), illustrating the use of the escaping mechanism to
represent arbitrary data, including NUL characters.
4番目の例は、4オクテットの値 00 00 00 04 (8進) を検索するフィルタを示し
ている。NUL文字も含めて、エスケープメカニズムで任意の値を表す際のやり方
を示している。
The fifth example illustrates the use of the escaping mechanism to
represent various non-ASCII UTF-8 characters. Specifically, there
are 5 characters in the <assertionvalue> portion of this example:
LATIN CAPITAL LETTER L (U+004C), LATIN SMALL LETTER U (U+0075), LATIN
SMALL LETTER C WITH CARON (U+010D), LATIN SMALL LETTER I (U+0069),
and LATIN SMALL LETTER C WITH ACUTE (U+0107).
5番目の例は、エスケープメカニズムで様々な非ASCII の UTF-8 文字を表す場合
のやり方を示している。具体的に述べると、この例では <投入値>部位に 5つの
文字が入っている:
ラテン大文字のL (U+004C), ラテン小文字のU (U+0075), カロン付きラテン小文字
のC (U+010D), ラテン小文字のI (U+0069), そして アキュート付きラテン小文字
のC (U+0107) である。
The sixth and final example demonstrates assertion of a BER-encoded
value.
6番目つまり最後の例は BERエンコードによる値の投入法を示している。
This memo describes a string representation of LDAP search filters.
While the representation itself has no known security implications,
LDAP search filters do. They are interpreted by LDAP servers to
select entries from which data is retrieved. LDAP servers should
take care to protect the data they maintain from unauthorized access.
当文書は LDAP検索フィルタの、文字列としての表し方を解説している。値の
表し方自体はセキュリティに関わりを持たないが、LDAP検索フィルタはセキュ
リティと関わる。検索文字列は LDAPサーバによって解釈され、いかなるデータ
を取り出すかの選択要素となる。LDAPサーバでは、不正アクセスからの管轄デー
タの保護に注意を払うべきである。
Please refer to the Security Considerations sections of [RFC4511] and
[RFC4513] for more information.
詳しくは [RFC4511] 及び [RFC4513] の「セキュリティに関する考察」セクショ
ンを参照していただきたい。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[RFC4234] Crocker, D. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", RFC 4234, October 2005.
[RFC4510] Zeilenga, K., Ed., "Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map", RFC 4510, June 2006.
[RFC4511] Sermersheim, J., Ed., "Lightweight Directory Access Protocol (LDAP): The Protocol", RFC 4511, June 2006.
[RFC4512] Zeilenga, K., "Lightweight Directory Access Protocol (LDAP): Directory Information Models", RFC 4512, June 2006.
[RFC4513] Harrison, R., Ed., "Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms", RFC 4513, June 2006.
[RFC4517] Legg, S., Ed., "Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules", RFC 4517, June 2006.
[Unicode] The Unicode Consortium, "The Unicode Standard, Version 3.2.0" is defined by "The Unicode Standard, Version 3.0" (Reading, MA, Addison-Wesley, 2000. ISBN 0-201-61633-5), as amended by the "Unicode Standard Annex #27: Unicode 3.1" (http://www.unicode.org/reports/tr27/) and by the "Unicode Standard Annex #28: Unicode 3.2."
[RFC4516] Smith, M., Ed. and T. Howes, "Lightweight Directory Access Protocol (LDAP): Uniform Resource Locator", RFC 4516, June 2006.
[X.690] Specification of ASN.1 encoding rules: Basic, Canonical, and Distinguished Encoding Rules, ITU-T Recommendation X.690, 1994.
This document replaces RFC 2254 by Tim Howes. RFC 2254 was a product
of the IETF ASID Working Group.
Changes included in this revised specification are based upon
discussions among the authors, discussions within the LDAP (v3)
Revision Working Group (ldapbis), and discussions within other IETF
Working Groups. The contributions of individuals in these working
groups is gratefully acknowledged.
Replaced [ISO 10646] reference with [Unicode].
The following technical changes were made to the contents of the
"String Search Filter Definition" section:
Added statement that the string representation is a string of UTF-8-
encoded Unicode characters.
Revised all of the ABNF to use common productions from [RFC4512].
Replaced the "value" rule with a new "assertionvalue" rule within the
"simple", "extensible", and "substring" ("initial", "any", and
"final") rules. This matches a change made in [RFC4517].
Added "(" and ")" around the components of the <extensible>
subproductions for clarity.
Revised the "attr", "matchingrule", and "assertionvalue" ABNF to more
precisely reference productions from the [RFC4512] and [RFC4511]
documents.
"String Search Filter Definition" section: replaced "greater" and
"less" with "greaterorequal" and "lessorequal" to avoid confusion.
Introduced the "valueencoding" and associated "normal" and "escaped"
rules to reduce the dependence on descriptive text. The "normal"
production restricts filter strings to valid UTF-8 sequences.
Added a statement about expected behavior in light of RFC 2254's lack
of a clear definition of "string representation."
Changed document title to include "LDAP:" prefix.
IESG Note: removed note about lack of satisfactory mandatory
authentication mechanisms.
Header and "Authors' Addresses" sections: added Mark Smith as the
document editor and updated affiliation and contact information.
"Table of Contents" and "Intellectual Property" sections: added.
Copyright: updated per latest IETF guidelines.
"Abstract" section: separated from introductory material.
"Introduction" section: new section; separated from the Abstract.
Updated second paragraph to indicate that RFC 2254 is replaced by
this document (instead of RFC 1960). Added reference to the
[RFC4510] document.
"LDAP Search Filter Definition" section: made corrections to the LDAP
search filter ABNF so it matches that used in [RFC4511].
Clarified the definition of 'value' (now 'assertionvalue') to take
into account the fact that it is not precisely an AttributeAssertion
from [RFC4511] Section 4.1.6 (special handling is required for some
characters). Added a note that each octet of a character to be
escaped is replaced by a backslash and two hex digits, which
represent a single octet.
"Examples" section: added four additional examples: (seeAlso=),
(cn:=Betty Rubble), (:1.2.3:=Wilma Flintstone), and
(1.3.6.1.4.1.1466.0=\04\02\48\69). Replaced one occurrence of "a
value" with "an assertion value". Corrected the description of this
example: (sn:dn:2.4.6.8.10:=Barney Rubble). Replaced the numeric OID
in the first extensible match example with "caseExactMatch" to
demonstrate use of the descriptive form. Used "DN" (uppercase) in
the last extensible match example to remind the reader to treat the
<dnattrs> production as case insensitive. Reworded the description
of the fourth escaping mechanism example to avoid making assumptions
about byte order. Added text to the fifth escaping mechanism example
to spell out what the non-ASCII characters are in Unicode terms.
"Security Considerations" section: added references to [RFC4511] and
[RFC4513].
"Normative References" section: renamed from "References" per new RFC
guidelines. Changed from [1] style to [RFC4511] style throughout the
document. Added entries for [Unicode], [RFC2119], [RFC4513],
[RFC4512], and [RFC4510] and updated the UTF-8 reference. Replaced
RFC 822 reference with a reference to RFC 4234.
"Informative References" section: (new section) moved [X.690] to this
section. Added a reference to [RFC4516].
"Acknowledgements" section: added.
"Appendix A: Changes Since RFC 2254" section: added.
Surrounded the names of all ABNF productions with "<" and ">" where
they are used in descriptive text.
Replaced all occurrences of "LDAPv3" with "LDAP."
Mark Smith, Editor Pearl Crescent, LLC 447 Marlpool Dr. Saline, MI 48176 USA
Phone: +1 734 944-2856 EMail: mcs@pearlcrescent.com
Tim Howes Opsware, Inc. 599 N. Mathilda Ave. Sunnyvale, CA 94085 USA
Phone: +1 408 744-7509 EMail: howes@opsware.com
Copyright (C) The Internet Society (2006).
This document is subject to the rights, licenses and restrictions
contained in BCP 78, and except as set forth therein, the authors
retain all their rights.
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed to
pertain to the implementation or use of the technology described in
this document or the extent to which any license under such rights
might or might not be available; nor does it represent that it has
made any independent effort to identify any such rights. Information
on the procedures with respect to rights in RFC documents can be
found in BCP 78 and BCP 79.
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use of
such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository at
http://www.ietf.org/ipr.
The IETF invites any interested party to bring to its attention any
copyrights, patents or patent applications, or other proprietary
rights that may cover technology that may be required to implement
this standard. Please address the information to the IETF at
ietf-ipr@ietf.org.
Funding for the RFC Editor function is provided by the IETF
Administrative Support Activity (IASA).