Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN/CSA-ISO/IEC ISP 15124-1-01:2026 信息技术 — 国际标准化轮廓 — 目录数据定义
加拿大采用国际标准化轮廓,确保目录服务互操作性的一致实施。
CAN/CSA-ISO/IEC ISP 15124-1-01:2026 是加拿大标准协会(CSA)于2026年采纳的国际标准化轮廓,为目录数据定义提供了一套统一的技术规范。该标准旨在解决不同目录服务实现之间的互操作性问题,为组织提供实施目录基础设施的通用框架。作为ISO/IEC ISP系列的一部分,本标准专注于目录数据的公共结构、属性定义和命名规则,确保遵循该标准的产品和服务能够无缝交换目录信息。
1. 标准概况与适用范围
1.1 标准背景与发布
本标准由加拿大标准协会(CSA)于2026年发布,等同采用ISO/IEC ISP 15124-1-01。它属于国际标准化轮廓(ISP)的范畴,这些轮廓定义了一组选定的功能,用于促进开放系统互连(OSI)环境下的互操作性。该标准特别针对目录服务领域,定义了一组公共目录数据定义(Directory Data Definitions, DDD),是构建安全、可扩展目录服务的基础。
1.2 适用范围
本标准适用于:
- 需要实现跨组织目录信息共享的系统集成商和服务提供商;
- 开发和部署符合国际标准的目录产品的软件厂商;
- 采用目录服务作为身份管理基础设施的企业和公共机构;
- 希望评估其目录系统互操作性水平的测试和认证机构。
具体而言,本标准规定了目录信息树(DIT)的结构、对象类(object classes)和属性类型(attribute types)的公共集,以及它们的行为约束。它为目录服务的实现者提供了一组明确的指南,确保不同供应商的目录产品可以交换用户、资源和服务信息。
2. 主要技术内容与要求
2.1 核心概念
目录数据定义基于X.500系列和LDAP的目录模型。本标准定义了一组核心对象类和属性类型,这些是构建目录信息的最小公共集合。例如,对象类’person’、’organizationalPerson’、’inetOrgPerson’等都在此轮廓内进行了标准化定义,包括每个类必须包含的属性和允许包含的属性。
2.2 关键数据定义表
下表列出了本标准中定义的一些关键对象类及其强制属性和可选属性:
| 对象类 | 强制属性 | 可选属性 |
|---|---|---|
| person | cn, sn | description, telephoneNumber, userPassword |
| organizationalPerson | cn, sn | title, telephoneNumber, facsimileTelephoneNumber, street, postalCode |
| inetOrgPerson | cn, sn, uid | mail, givenName, departmentNumber, employeeType, manager |
| organization | o | description, businessCategory, postalAddress, telephoneNumber |
| organizationalUnit | ou | description, businessCategory, postalAddress, telephoneNumber |
表1:本标准定义的核心对象类及其属性集
此外,本标准还规范了命名属性(naming attributes)和语法规则,确保目录条目的标识一致。
2.3 一致性要求
一致性要求分为两类:
- 严格一致性:实现必须完全支持本标准中定义的所有对象类和属性类型,不得修改其结构;
- 选择性一致性:实现可以选择支持对象类的子集,但必须声明支持的具体内容,并遵循本标准的定义。
任何一致性声明都必须包含本标准编号和实际实现的功能列表。
3. 实施与应用要点
3.1 规划与部署
在实施本标准时,组织应采取以下步骤:
- 评估现有目录环境与本标准的差距;
- 根据本标准定义的对象类修订目录模式(schema);
- 确保目录服务器软件支持本标准定义的语法和匹配规则;
- 测试与其它遵循本标准的目录之间的互操作性。
实用提示: 在修订目录模式时,应尽量使用本标准定义的属性类型,而非自定义属性。这可以最大化与其他组织的目录集成效果。
重要注意事项: 避免在未仔细评审的情况下直接导入完整的标准模式。某些对象类和属性可能包含特定约束(如大小写敏感性、长度限制),必须根据实际环境调整。
标准实施的益处: 采用本标准可以显著降低多供应商目录环境下的集成成本,提高身份数据的重用性,并简化认证和授权流程。
安全关键要求: 实施者必须确保目录访问控制机制(ACI)符合组织的安全策略。特别地,包含密码信息的属性(如userPassword)必须使用强哈希存储,并限制访问权限。
3.2 测试与验证
建议使用业内认可的互操作性测试工具(如LDAP Test Suite)验证实施是否满足本标准。测试应覆盖对象类实例化、属性值验证、搜索过滤、引用完整性等方面。
4. 与其他标准的关系
CAN/CSA-ISO/IEC ISP 15124-1-01:2026 与以下标准密切相关:
- ISO/IEC 9594(X.500系列): 本标准基于X.500目录模型,并提供特定于互操作性轮廓的细化;
- IETF RFC 4510-4519(LDAP): 本标准的对象类和属性定义与LDAP标准保持兼容,但额外提供了一些约束和扩展;
- ISO/IEC ISP 14605(Directory Data Definitions Profile): 本标准是该轮廓的一部分,共享相同的架构原则;
- CAN/CSA-ISO/IEC ISP 15124系列其他部分: 本部分为通用部分,后续部分可能涵盖特定应用领域(如证书目录、个人目录等)。
遵循本标准有助于组织快速适应ISO和ITU-T未来在目录领域的发展。
常见问题 (FAQ)
问:CAN/CSA-ISO/IEC ISP 15124-1-01:2026 与普通的ISO/IEC ISP 15124-1-01有何区别?
答:加拿大标准协会(CSA)采纳国际标准时可能会添加国家注释或调整适应加拿大环境。但CAN/CSA-ISO/IEC ISP 15124-1-01:2026 与国际版本在技术内容上保持一致,只是标签不同。
答:加拿大标准协会(CSA)采纳国际标准时可能会添加国家注释或调整适应加拿大环境。但CAN/CSA-ISO/IEC ISP 15124-1-01:2026 与国际版本在技术内容上保持一致,只是标签不同。
问:实施本标准是否要求使用特定的目录服务器软件?
答:不要求特定软件,只要目录服务器支持X.500/LDAP模式定义并遵循本标准定义的对象类和属性,即可实现实施。常见的如OpenLDAP、Microsoft Active Directory、Oracle Internet Directory等都可配置符合本标准。
答:不要求特定软件,只要目录服务器支持X.500/LDAP模式定义并遵循本标准定义的对象类和属性,即可实现实施。常见的如OpenLDAP、Microsoft Active Directory、Oracle Internet Directory等都可配置符合本标准。
问:本标准是否包含安全相关要求?
答:本标准主要关注数据定义,但通过属性定义(如userPassword)和推荐的安全实施指南间接涉及安全。具体安全控制(如SSL/TLS、访问控制)由其他标准(如ISO/IEC 27000系列或IETF RFC)规范。
答:本标准主要关注数据定义,但通过属性定义(如userPassword)和推荐的安全实施指南间接涉及安全。具体安全控制(如SSL/TLS、访问控制)由其他标准(如ISO/IEC 27000系列或IETF RFC)规范。
问:我需要同时购买加拿大标准和国际标准吗?
答:通常购买加拿大标准即可获得完整的国际标准内容。如果您需要参考国际文本,ISO/IEC版本也是等效的。建议根据所在地区的标准化要求选择。
答:通常购买加拿大标准即可获得完整的国际标准内容。如果您需要参考国际文本,ISO/IEC版本也是等效的。建议根据所在地区的标准化要求选择。
