Реализации, кэширующие полученные посредством LDAP атрибуты и записи, должны (MUST) обеспечить поддержку контроля доступа при предоставлении такой информации нескольким клиентам, поскольку у серверов могут иметься политики контроля доступа, предотвращающие возвращение записей и атрибутов в результатах операции Search, за исключением конкретных клиентов, прошедших аутентификацию. К примеру, информацию из кэша можно выдавать только тем клиентам, в результате запроса которых она и была закэширована.
Серверы могут возвращать отсылки либо ссылки-продолжения в результате операции Search, перенаправляющие клиентов на другие серверы. Недобросовестные приложения имеют возможность внедрить подобные отсылки в поток данных, пытаясь тем самым перенаправить клиента на недобросовестный сервер. Клиентам рекомендуется учитывать это и, по возможности, отклонять отсылки, если защита конфиденциальности не обеспечена. Клиентам рекомендуется отклонять отсылки, возвращаемые операцией StartTLS.
Содержимое полей matchedDN и diagnosticMessage, а также некоторые значения результирующих кодов resultCode (например, attributeOrValueExists и entryAlreadyExists) могут раскрывать наличие или отсутствие конкретных данных в каталоге, защищаемых средствами контроля доступа и других административных ограничений. Реализациям сервера следует ограничивать доступ к защищаемой информации в равной степени как в нормальных условиях, так и при возникновении ошибок.
Стороны протокола должны (MUST) быть готовы обрабатывать неверные кодировки протокола и кодировки произвольной длины. Неверные кодировки протокола включают в себя: исключения кодировки BER, исключения формата строки и кодировки UTF-8, исключения переполнения, исключения целочисленных значений, а также исключения флага on/off бинарного режима. Набор тестов LDAPv3 PROTOS [PROTOS-LDAP] предоставляет прекрасные примеры таких исключений и варианты тестов для обнаружения недостатков в реализациях.
В случае обнаружения сторонами протокола какой-либо атаки, которая может привести к плохим последствиям при продолжении взаимодействия на любом уровне в рамках сессии LDAP, им следует немедленно прекратить эту сессию LDAP как описано в разделе 5.3.
7. Благодарности
Этот документ основан на RFC 2251, авторы Mark Wahl, Tim Howes и Steve Kille. RFC 2251 — продукт рабочей группы IETF ASID.
Он также основан на RFC 2830, авторы Jeff Hodges, RL "Bob" Morgan и Mark Wahl. RFC 2830 — продукт рабочей группы IETF LDAPEXT.
Он также основан на RFC 3771, авторы Roger Harrison и Kurt Zeilenga. RFC 3771 — индивидуальный вклад в IETF.
Этот документ — продукт рабочей группы IETF LDAPBIS. Существенный вклад в составление документа и его техническую ревизию внесли Kurt Zeilenga, Steven Legg и Hallvard Furuseth.