GB T 16264.2-2008 信息技术 开放系统互连 目录 第2部分：模型.pdf

1、ICS 3510070L 79 蝠园中华人民共和国国家标准GBT 162642-2008ISOIEC 95942：2005代替GB,T l 62642一1996信息技术 开放系统互连 目录第2部分：模型Information technology-Open Systems Interconnection-The Directory-Part 2：Models(ISOIEC 9594 2：2005 Information technology Open SystemsInterconnection The Directory：Models，IDT)20080806发布 2009-0101实施宰瞀

2、鹛絮瓣訾幞瞥爨发布中国国家标准化管理委员会“”前言引言 第一篇：综述1范围2规范性引用文件-3术语和定义-4缩略语-5 约定 第二篇：目录模型概述6 目录模型第三篇：目录用户信息模型7 目录信息库-8目录条目9名(称)10层次结构组第四篇：目录管理模型ll 目录管理机构模型第五篇：目录管理和操作信息模型12 目录管理和操作信息模型第六篇：目录模式1 3 目录模式-14目录系统模式15目录模式管理-第七篇：目录服务管理16服务管理模型第八篇：安全1 7安全模型18基本访问控制l 9基于规则的访问控制一20存储时的数据完整性第九篇：DSA模型-21 DSA模型-第十篇：DSA信息模型22知识-23

3、 DSA信息模型的基本元素-24 DSA信息的表示第十一篇：DSA操作框架25 概述-GBT 162642-2008ISOIEC 95942：2005目 次_1q门叫L：)L：)瑚峭船拈如弘踮驵u阻阳阳卯加鲇四弘弘。GBT 162642-2008ISOIEC 9594-2：200526操作绑定27操作绑定规范和管理28操作绑定管理的操作-附录A(规范性附录)客体标识符的用法附录B(规范性附录)用ASN1描述的信息框架附录C(规范性附录)用ASN1描述的子模式管理模式附录D(规范性附录) 用ASN1描述的服务管理附录E(规范性附录)用ASN1描述的基本访问控制附录F(规范性附录)用ASN1描述的

4、DSA操作属性类型附录G(规范性附录)用ASN1描述的操作绑定管理附录H(规范性附录)增强的安全性附录I(资料性附录)树的数学附录J(资料性附录)名(称)设计准则附录K(资料性附录)模式的各方面的示例附录L(资料性附录)基本访问控制许可概述附录M(资料性附录)访问控制示例附录N(资料性附录)DSE类型组合附录0(资料性附录)知识的建模附录P(资料性附录) 作为属性值存储或作为参数使用的名(称)附录Q(资料性附录)子过滤器附录R(资料性附录)复合条目的命名方式及其使用附录S(资料性附录)命名概念和考虑附录T(资料性附录)定义的英文字母顺序索引m呈|i星m曼：mm埘m姒凇粼批渤啦掰猢黜撕GBT 1

5、62642-2008ISOIEC 95942：2005前 言GBT 162644信息技术开放系统互连 目录包括以下10个部分：第1部分：概念、模型和服务的概述；第2部分：模型；第3部分：抽象服务定义；第4部分：分布式操作规程；第5部分：协议规范；第6部分：选定的属性类型；第7部分：选定的客体类；第8部分：公钥和属性证书框架；第9部分：复制(待发布)；第10部分：公用目录管理机构的系统管理用法(待发布)。本部分是GBT 16264的第2部分。本部分等同采用ISOIEC 9594 2：2005信息技术 开放系统互连 目录 模型，仅有编辑性修改。本部分代替6BT 162642 1996。本部分与GB

6、T 162642 1996的差异在于增加了下列各项内容：目录管理模型；目录管理和操作信息模型；目录模式；目录服务管理；DSA模型；DsA信息模型；DsA操作框架；扩充了GBT 1 62642 1996中各章条内容。本部分的附录A附录H是规范性附录，附录I附录T是资料性附录。本部分由中华人民共和国信息产业部提出。本部分由全国信息技术标准化技术委员会归口。本部分起草单位：中国电子技术标准化研究所。本部分主要起草人：徐冬梅、冯惠、张翠、胡顺。本部分于1996年首次发布，本次为第一次修订。GBT 162642-2008ISOIEC 9594-2：2005引 言GBT 16264的本部分连同本标准其他部

7、分是为方便信息处理系统之间的互连以提供目录服务而制定的。所有这些系统的集合，连同它们所拥有的目录信息可被视为一个整体，被称为“目录”。目录所拥有的信息，总称为目录信息库(DIB)，典型地被用于方便客体之问的通信、与客体的通信或有关客体的通信等，这些客体如应用实体、个人、终端和分布列表等。目录在开放系统互连中扮演了重要角色，其目标是，在它们自身的互连标准之外做最少的技术约定的情况下，允许下述各种信息处理系统之问的互连：一来自不同生产厂商；具有不同的管理；具有不同的复杂程度，以及有不同的年代。本部分为目录提供一组不同的模型，作为其他部分参考的框架。这些模型包括总体(功能)模型、管理机构模型、提供关

8、于目录信息的目录用户和管理用户视图的通用目录信息模型、通用目录系统代理(DSA)和DSA信息模型以及操作框架和安全模型。例如，通用目录信息模型描述了客体的相关信息如何分组，形成该客体的目录条目以及那些信息如何为客体提供名(称)。通用DSA和DSA信息模型以及操作框架为目录的分布提供了支持。本部分提供了通用目录信息模型的专门化以支持对目录模式的管理。本部分提供了一些基础框架，在此框架基础上，其他标准化组织和业界论坛可以定义工业配置集。在这些框架中定义为可选的许多特性，可通过配置集的说明，在某种环境下作为必选特性来使用。目前1SOIEC 9594的第5版是原有国际标准第4版的修订和增强，但不是替代

9、。在系统实现时仍可以声明为符合第4版。然而，在某些方面，将不再支持第4版(即不再消除一些报告上来的错误)。建议在系统实现时尽快符合第5版。第5版详细定义了目录协议的第l版和第2版。第1版和第2版仅定义了协议第l版。本版本(第5版)中定义的许多服务和协议被设计为可运行在第l版下。然而，一些增强的服务和协议，如署名错误，只有包含在操作中的所有的目录条目都协商支持协议第2版时才可运行。无论协商的是哪一版，第5版中所定义的服务之间的差异和协议之间的差异，除了那些特别分配给第2版的外，都可以使用GBT 162645-2008中定义的扩展规则调节。本部分使用术语“第1舨系统”来指遵循国际标准第1版的所有系

10、统，即ISO1EC 9594：1990版本；本部分使用术语“第2版系统”来指遵循国际标准第2版本的所有系统，即1SOIEC 9594：1995版本；本部分使用术语“第3版系统”来指遵循国际标准第3版的所有系统，即ISOIEC 9594：1998版本；本部分使用术语“第4版系统”来指遵循国际标准第4版的所有系统，即ISOIEC 9594：2001版本的第l部分到第lo部分；本部分使用术语“第5版系统”来指遵循国际标准第5版的所有系统，即ISOIEC 9594：2005版本。GBT 1 6264 1 996是参照ISOIEC 9594：l 990而制定的。我国没有制定与国际标准第2版、第3版、第4

11、版对应的国家标准。本部分提到的版本号是指国际标准的版本号。附录A是规范性附录，总结了本标准中ASN1客体标识符的用法。附录B是规范性附录，提供了ASN1模块。附录(：是规范性附录，提供了子模式管理模式的ASN1定义。GBT 1 62642-2008ISOIEC 95942：2005附录D是规范性附录，提供了服务管理的ASN1模块定义。附录E是规范性附录，提供了基本访问控制的ASN1模块定义。附录F是规范性附录，提供了一个ASN1模块定义，该模块中包含了所有与DSA操作属性类型相关的定义。附录G是规范性附录，提供了一个ASN1模块定义，该模块中包含了与操作绑定管理操作相关的所有定义。附录H是规范

12、性附录，提供了一个ASN1模块定义，该模块中包含了与增强的安全相关的所有定义。附录I是资料性附录，对与树型结构相关的数学术语进行了概述。附录J是资料性附录，描述了在设计名(称)时可以考虑的一些准则。附录K是资料性附录，对模式的不同方面提供了一些示例。附录I。是资料性附录，提供了与基本访问控制许可相关的语义方面的概述。附录M是资料性附录，提供了基本访问控制用法的一个扩展示例。附录N是资料性附录，描述了一些DSA特定条目的组合。附录O是资料性附录，提供了对知识建模的框架。附录P是资料性附录，描述了一个名(称)是可替代辨别名还是主辨别名，它是否可以包括可替代值以及它是否可以包括上下文信息等的判断准则

13、。附录Q是资料性附录，描述了子过滤器的概念。附录R是资料性附录，描述了如何对家族成员进行命名的建议和示例。附录s是资料性附录，介绍了命名概念和相关的考虑。附录T是资料性附录，以字母表顺序列出了本部分中定义的术语。GBT 1 62642-2008ISOIEC 9594-2：2005信息技术开放系统互连 目录第2部分：模型第一篇：综述1范围GBT 16264的本部分中定义的模型为GBT 16264的其他部分提供了一个概念框架和术语框架，这些部分规定了目录的各种特性。功能模型和管理机构模型定义了目录进行功能分布和管理分布的方法。通用DSA和DSA信息模型以及操作框架也是为支持目录分布而提供的。通用目

14、录信息模型分别从目录用户和主管部门用户的角度描述了DIB的逻辑结构。事实上，但在这些模型中，目录是分布的而不是集中的，是不可见的。本部分提供了通用目录信息模型的专门化以支持对目录模式的管理。GBT 16264-2008的其他部分使用了本部分中定义的概念，对通用信息和DSA模型进行专门化定义以提供特定的信息、特定的DSA和操作模型，用以支持特定的目录能力(如复制)：a) 目录提供的服务(在GBT 1626432008中定义)是根据信息框架的概念而描述的：这就允许所提供的服务在某种程度上独立于DIB的物理分布；b)规定了目录的分布式操作(在GBT 1626442008中定义)，以此可以提供上述服务

15、，并因此可以维护该逻辑信息结构，即使该DIB实际上是高度分布的；c)规定了目录的组成部分所提供的用以提高目录整体性能的复制能力(在ISOIEC 95949中定义)。安全模型为规范访问控制机制建立了一个框架。它为在DIT的特定部分内有效标识访问控制方案提供了一种机制，并且定义了三种灵活的、特定的访问控制方案，这些模式广泛适用于各种不同的应用以及使用风格。通过使用如密码和数字签名等机制，安全模型还为保护目录操作的保密性和完整性提供了一个框架，它使用了ISOIEC 95948中定义的鉴别框架以及GBT 1823712000中定义的通用高层安全工具。DSA模型为目录组件操作规范建立了一个框架，包括：a

16、) 目录功能模型描述了目录是如何表示为一个或多个组件(每个组件为一个DSA)；b) 目录分布模型描述了一些原则，按照这些原则，DIB条目和条目拷贝可以在DSA间分布；c)DSA信息模型描述了目录用户以及DSA内存储的操作信息的结构；d)DSA操作框架描述了为获得特定目标(例如影像)，构造DSA之间特定合作形式定义的方法。2规范性引用文件下列文件中的条款通过GBT 16264的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适

17、用于本部分。GBT 93871一1998信息技术开放系统互连基本参考模型第1部分：基本模型(idt ISOIEC 7498 1：1 994)1GBT 162642-2008ISOIEC 95942：20056BT 93872 1 995(idt ISO 7498 2：1989)GBT 93873一一1995(idt ISO 74983：1989)GBT 162621 20061EC 8824 1：2002，IDT)GBT 162622 2006IEC 8824 2：2002，IDT)GBT 1626232006IEC 88243：2002，IDT)信息处理系统开放系统互连 基本参考模型第2部分

18、：安全体系结构信息处理系统 开放系统互连 基本参考模型 第3部分：命名与编址信息技术抽象语法记法一(ASN1) 第1部分：基本记法规范(1SO信息技术抽象语法记法一(ASN1) 第2部分：信息客体规范(ISO信息技术 抽象语法记法一(ASN1) 第3部分：约束规范(ISOGBT 1 62624 2006信息技术抽象语法记法一(ASN1) 第4部分：ASN1规范的参数化(ISOIEC 88244：2002，IDT)GBT 1626412008信息技术 开放系统互连 目录 第1部分：概念、模型和服务的概述(ISOIEC 95941：2005，IDT)GBT 1626432008 信息技术 开放系统

19、互连 目录 第3部分：抽象服务定义(IsOIEC 9594 3：2005，IDT)GBT 1626442008IEC 95944：2005，IDT)GBT 1 62645 20082005。IDT)GBT 162646 2008IEC 9594 6：2005，IDT)GBT 1 626472008IEC 95947：2005，IDT)信息技术 开放系统互连 目录 第4部分：分布式操作规程(ISO信息技术 开放系统互连 目录第5部分：协议规范(Is0IEc 9594 5信息技术 开放系统互连 目录 第6部分：选定的属性类型(ISO信息技术 开放系统互连 目录 第7部分：选定的客体类(ISOGBT

20、 1 7965 2000信息技术开放系统互连高层安全模型(idt ISOIEC 10745：1995)GB7F 1823712000信息技术开放系统互连 通用高层安全第1部分：概述、模型和记法(idt ISCIIEC 11 5861：1996)GBT 187942 2002 信息技术 开放系统互连 开放系统安全框架 第2部分：鉴别框架(idt ISOIEC 101812：1 996)GBT 187943 2003信息技术(ISOIEC 10181-3：1996，IDT)1s0IEc 9594 8：2005信息技术ISOIEC 95949：2005信息技术IS()IEC 9594 10：2005

21、信息技术ISOIEC 98341：2005信息技术客体标识符树的顶级弧开放系统互连开放系统安全框架第3部分：访问控制框架开放系统互连 目录：公钥和属性证书框架开放系统互连 目录：复制开放系统互连 目录：公用目录管理机构的系统管理用法开放系统互连OSI登记机构的操作规程：一般规程和ASN1ISO1EC 1 0021 2信息技术消息处理系统(MHS)：总体结构ISOIEC 10021 4：2003信息技术消息处理系统(MHS)：消息传送系统抽象服务定义和规程CCITT建议X800：1991 CCITT应用的开放系统互连安全体系结构IETF RFC 3377：2002轻量级目录访问协议(v3)：技术

22、规范3术语和定义下列术语和定义适用于GBT 1 6264的本部分。2GBT 162642-2008ISOIEC 95942：200531通信定义本部分使用GBT 162645中定义的术语：a) 应用实体application entity；b) 应用层application Layer；c) 应用进程application process。32基本目录定义本部分使用GBT 162641中定义的术语：a) 目录directory；b) 目录访问协议Directory Access Protocol；c) 目录信息库Directory Information Base；d) 目录操作绑定管理协议D

23、irectory Operational Binding Management Protocol；e) 目录系统协议Directory System Protocol；f)(目录)用户(Directory)user。33分布式操作定义本部分使用GBT 162644中定义的术语：a) 访问点access point；b)分等级操作绑定hierarchical operational binding；c) 名(称)解析name resolutlon；d) 非特定分等级操作绑定nonspeciBc hierarchical operational binding；e) 相关的分等级操作绑定relev

24、ant hierarchical operational binding。34复制定义下列术语在1SO1EC 9594 9中定义：a) 高速缓冲拷贝cachecopy；b)使用者引用consumer refefence；c)条目拷贝entry copy；d)主DSA masterD6A；e) 主影像primary shadowing；f) 复制区replicated area；g) 复制replication；h) 次影像secondary shadowing；i)影像使用者shadow consumer；j)影像提供者shadow supplier；k) 影像的DSA特定条目 Shadowe

25、d DSASpeciic Entry；1) 影像shadowing；m)提供者引用supplier reerence。本部分定义的术语在每一章开头的适当位置。为便于参考，在本部分的附录T中提供了这些术语的索日I。4缩略语GBT 16264的本部分使用如下缩写词：ACDF 访问控制决策功能(Access Control Decision Function)ACI 访问控制信息(Access Control Information)ACIA 访问控制内部区(Access Control Inner Area)3GBT 1626422008ISOIEC 9594-2：2005SDSE5约定访问控制特

26、定区 (Access Control Specific Area)公共目录管理域(Administration Directory Management Domain)抽象语法记法一 (Ahstract Syntax Notation One)属性值断言 (Attribute Value Assertion)(ASN1)基本编码规则 (AsN1)Basic Encoding Rules)目录访问控制域(Directory Access Control Domain)目录访问协议(Directory Access Protoco)目录信息库(Directory Information Base)

27、目录信息影像协议(Directory Information Shadowing Protoc01)目录信息树(Directory Information Tree)目录管理域(Directory Management Domain)域管理组织 (Domain Management Organization)目录操作绑定管理协议(Directory Operational Binding Management Protoc01)目录系统代理(Directory System Agent)DSA特定条目 (DsASpecific Entry)目录系统协议(Directory System Pro

28、toc01)目录用户代理(Directory User Agent)分等级操作绑定 (Hierarchical Operational Binding)轻量级目录访问协议(Lightweight Directory Access Protoc01)非特定分等级操作绑定(Non-specific Hierarchical Operational Binding)非特定下级引用(NonSpecific Subordinate Reference)专用目录管理域(Private Directory Management Domain)相关可辨别名 (Relative Distinguished Na

29、me)相关的分等级操作绑定 (适当情况下，指HOB或NHOB)(Relevant Hierarchical Operational Binding(a HOB or NHOB，as appropriate)影像DSE (Shadowed DSE)术语“目录规范(或本目录规范)”指的是GBT 1626422008。术语“系列目录规范”指的是GBT 1 6264的所有部分。本目录规范使用术语“第l版系统”来指遵循系列目录规范第1版的所有系统，即1988年版本的CCITT X500系列建议书和GBT 162641996版本。本目录规范使用术语“第2版系统”来指遵循系列目录规范第2版本的所有系统，即1

30、993版本的ITuT X500系列建议书和IsOIEC 9594：1 995版本。本目录规范使用术语“第3版系统”来指遵循系列目录规范第3版的所有系统，即1997版本的ITuT X500系列建议书和IsoIEc 9594：1998版本。本目录规范使用术语“第4版系统”来指遵循系列目录规范第4版的所有系统，即IsoIEc 9594：2001年版本的第1到第10部分。本目录规范使用术语“第5版系统”来指遵循系列目录规范第5版的所有系统，即GBT 162642008版本的第1到第7部分以及Is0IEc 9594：2005年版本的第8到第10部分。本目录规范使用粗体字体来表示ASN1符号。若在常规文本

31、中要表示ASN1的类型和值时，为了区别于常规文本，使用了粗体字表示。为了表示过程的语义而引用过程名时，为了区别于常规文本，使用了粗体字表示。访问控制许可使用斜体字表示。4瞰一n隙一胛m舯丌mm弘掘ej吣m咖蝴排蹦哪AAAA崮DDDDDDDDDDDDHLNNHRR6 目录模型GBT 1 62642-2008ISOIEC 9594-2：2005第二篇：目录模型概述61定义本部分使用下列术语和定义：611公共管理机构administrative authority域管理组织的一个代理机构，负责目录管理的不同方面。612公共目录管理域administration directory managemen

32、t domain；ADDMD由管理部门管理的目录管理区(DMD)。注：术语“管理”指公共远程通信管理部门或提供公共远程通信服务的组织。613目录管理和操作信息directory administrative and operational information出于目录管理和操作的目的而使用的信息。614DIT域DIT domain由DSA所拥有的构成一个DMD的全球DIT的一部分。615目录管理域directory management domain；DMD由一个单独的组织所管理的一个或多个DSA以及零个或多个DUA的集合。616域管理组织domain management organiza

33、tion管理一个DMD(以及相应的DIT域)的组织。617目录用户信息directory user information关于用户及其应用的感兴趣的信息。618目录系统代理directory system agent；DSA一个OSI应用进程，是目录的一个组成部分。619(目录)用户 (directory)user目录的端用户，即访问目录的实体或人员。6110目录用户代理directory user agent；DUAOSI的一个应用进程，它在访问目录过程中代表某一个用户。注：DUA可能还会提供一个本地范围的便利工具以帮助用户构成请求并解释响应。6111客户机LDAP client LDAP一

34、个应用进程，表示通过轻量级目录访问协议(IDAP)来访问目录的用户。6112LDAP请求者LDAP requestor一个DSA，能够通过轻量级目录访问协议(LDAP)来发起请求，并且能够理解和处理LDAP的jGBT 1 62642-2008IS0IEC 9594-2：2005响应。6113LDAP响应者LDAP responder一个DSA，能够理解并响应轻量级目录访问协议(LDAP)的请求。6114LDAP服务器LDAP server一个组成目录的应用进程，它拥有DIB的一部分，并且能够通过轻量级目录访问协议(LDAP)对请求进行响应。6115专用目录管理域private director

35、y management domain；PRDMD由公共主管部门之外的组织所管理的一个目录管理域(DMD)。62目录及其用户目录是一个信息仓库，这个仓库被称为目录信息库(DIB)。为用户提供的目录服务实际上是关于对这些信息的各种方式的访问。目录提供的服务在GBT 162643 2008中定义。一个目录用户(如一个人或一个应用进程)通过访问目录而获得目录服务。更准确地说，是一个目录用户代理(DUA)或一个轻量级目录访问协议(LDAP)的客户机代表每个用户去真正地访问目录，并与目录交互以获取其服务。目录提供一个或多个访问可进行的访问点。上述概念如图1所示。DUA表现为一个应用进程。在任何一个通信实

36、例中，每个DUA都确切地代表一个目录用户。目录表现为一个或多个应用进程的集合，这些应用进程被称为目录系统代理(DSA)和或轻量级目录访问协议(LDAP)服务器，每个DSA或IDAP服务器都提供零个、一个或多个访问点。关于DSA的更详细描述，见212。注1：上一些开放系统可能会为实际用户(如应用进程或人员等)获取信息提供一个集中式的DUA功能。这个对目录来说是透明的。注2：DUA功能和一个DSA可以处于同一个开放系统中。并且可以在实现时选择是否让一个或多个DUA在OSl环境中作为可视的应用实体。注3：一个DUA可以有本地特性和结构，这些不在本目录规范的定义范围之内。例如。一个表示目录人类用户的D

37、UA可能会提供一个本地范围的便利工具来帮助它的用户构成请求并解释响应。图1 目录的访问63目录和DSA信息模型631通用模型目录信息可能分成如下的类：用户信息：由用户置于目录内或者代表用户；随后被用户所管理或者代表用户。第3部分提供6GBT 162642-2008ISOIEC 95942：2005了该信息的一个模型；或者管理和操作信息：由目录拥有，以适应各种不同的管理和操作需求。第5部分提供了该信息的一个模型。另外在第5部分还提供了一个关于用户信息模型、管理和操作信息模型之间关系的规范。这些模型从不同方面表达了DIB视图，被认为是通用目录信息模型。目录信息模型描述了目录作为一个整体如何来表示信

38、息。作为一起操作的DSA集合的目录成分从该模型中得出。另方面，DSA信息模型与DSA以及DSA应拥有的信息尤其相关，以使组成目录的DSA集合能够共同实现目录信息模型。DSA信息模型在本部分第22章到23章提供。DSA信息模型是一个通用的模型，描述了DSA所拥有的信息以及这些信息与DIB和DIT之间的关系。DSA信息模型所表示的一些信息可以通过目录抽象服务来访问，但不是全部信息。因此，如果对本系列目录规范中描述的全部信息都通过目录抽象服务来进行管理是不可能的。可以预见到的是，对DSA信息的管理最初应当是一个本地事物，但到最后应该会部署一些通用的系统管理服务来提供对DSA信息模型中描述的所有信息的

39、访问。6，32特定的信息模型对于作为整体的目录和它的组件，在通用模型制定以后，特定的信息模型需要对目录及其组件操作的特别方面进行标准化。通用的目录信息模型为下述特定的信息模型建立了个框架：访问控制信息模型；子模式信息模型；集合属性信息模型。相应的，通用的DSA信息模型为下述特定的信息模型建立了一个框架：DSA分布知识的模型；DSA复制知识的模型。64 目录管理机构模型曰录管理域(DMD)是由单个单独的组织所管理的一个或多个DSA以及零个或多个DUA的集合。由(DsA组成的)目录管理域(DMD)所拥有的全球DIT的那部分被称为DIT域。在DMD和DIT域之间是一对一的对应关系。当提及对日录功能组

40、件的管理时，使用术语“DMD”。当提及对目录信息的管理时，使用术语“DIT域”。与该术语相关的两个要点是：一个DIT域由一个或多个不相交的DIT子树组成(见115)。一个D1T域不得包含全球DIT的根；当管理的两个方面(目录功能组件管理和目录信息管理)放在一起考虑时，术语“DMD”作为一般术语使用。管理某个DMD(以及关联的DIT域)的组织被称为一个域管理组织(DMO)。注1：域管理组织可能是一个管理部门(即一个公共远程通信管理部门，或者其他提供公共远程通信服务的组织)在这种情况下，被管理的DMD被称做公共目录管理域(ADDMD)；否则它就是一个专用目录管理域(PRDMD)。应当认识到的是，关

41、于ITUT成员对专用目录系统的支持，这种指配属于国家法规的框架之内。因此，提供目录服务的主管部门可以提供所描述的技术可能性也可不提供。专用目录管理域的内部操作和配置不在本目录规范的定义范围之内。图2举例说明了DMO、DMD和D1T域之间的关系。GBT 1 62642-2008ISOIEC 9594-2：2005图2目录管理由DMO对DUA进行管理意味着DMO对该DUA负有服务的责任，例如：维护，或在某些情况下被DMO拥有。DMO可以选择或不选择使用本系列目录规范来管理DMD域内DUA和DSA之间的任何交互。与目录管理的不同特性相关的域管理组织(DMO)的代理机构被称为管理机构。“管理权力”指的

42、是由域管理组织授予某个管理机构的用以执行策略的权力。注2：目录管理机构模型在第四篇规定。为便于引用，如在搜索规则中，可给DMD分配一个客体标识符(DMl_id)。第三篇：目录用户信息模型7目录信息库71 定义本部分使用下列术语和定义：711别名条目alias entry一个包含用于为客体或者别名条目提供可替换名信息的“别名”类的项。712祖(条目)ancestor组成一个复合条目的家族成员所形成的层次结构中的根条目。7 13复合条目compound entry表示一个客体，该客体由家族成员组成，且这些家族成员分层次地组织起来形成一个或多个条目的家族。71 4派生条目derived entry在

43、搜索结果中的条目信息，其包含的属性值是通过从一个或多个目录条目中获取的原始数据进行结合而得到的。GBT 162642-2008ISOIEC 9594-2：200515直接上级类direct superclass相对于子类而言，直接派生子类的客体类。716目录信息库directory information base；DIB目录提供访问的完整信息集合，通过使用操作可阅读和操纵其中的信息段。717目录信息树directory information tre8；DITDIB可被看作一棵树，除根以外的树的顶点都是目录条目。注：只有在与信息的树型结构相关的上下文内，才使用术语“DIT”来替代“DIB”。

44、718(目录)条目(directory)entryDIB内的已命名的信息集合，DIB由条目组成。719家族family复合条目内表示特定信息类的由家族成员条目所组成的具有层次结构的子集。复合条目内每个家族的根是一个祖先，但除了共享这一个祖先外，家族之间不共享公共成员。在一个复合条目内，每一个家族内直接包含在祖先下的成员都具有一个共同类(结构客体类)，以此将一个家族同其他家族区分开来。7110家族成员family member组成一个复合条目的层次结构条目集合中的成员。7111直接上级immediate superior相对于一个特定的条目或客体而言(它应当根据其所意向的上下文有明确定义)的直接

45、上级条目或客体。7112直接上级条目 immediately superior entry相对于特定条目而言，直接上级条目是在DIT的一个弧的初始顶点上，而该特定条目是在弧的终结顶点上。7113直接上级客体immediately superior object相对于特定客体而言，直接上级客体的客体条目是下一级客体的任何条目(客体条目或别名条目)的直接上级。7114(关注的)客体object(of interest)“世界”中的任何事物，这里所说的“世界”通常是指远程通信和信息处理或是它们的某一部分，这些事物可被标识(能够被命名)，在DIB中保持的信息应是有意义的。7115客体类object c

46、lass共享某些特性的可被标识的客体(或可以设想的客体)族。7116客体条目 object entryDIB中的一个条目，该条目是DIB中关于某个客体的主要信息集合，因此可以说，该条目在DIB中qGBT 1 62642-2008ISOIEC 9594-2：2005代表了该客体。7117相关条目 related entries(目录)条目的一个集合，该集合中的每个条目都在DIB中拥有感兴趣的特定现实世界中的客体信息。该集合中的不同条目可能会包含关于现实世界中客体的不同类型的信息，甚至可能包含矛盾的信息。注1：相关条目集合中信息的取值取决于每个条目的标识与现实世界之间的可靠度。注2：相关条目处于不同的DIT中且拥有相同的标识名是可能的，但不是必要的。同样的，非相关条目拥有相同的标识名也是可能的；然而，建议相同的标识名仅用于相关条目。7118子类 subclass相对于一个或多个上级类而言子类是从一个或多个上级类派生而来的。子类的成员共享其上级类的所有特性，并且拥有这些上级类成员所没有的附加特性。7119下级subordinate上级的相反面。7120上级类superclass相