GB T 16264.3-2008 信息技术 开放系统互连 目录 第3部分：抽象服务定义.pdf

《GB T 16264.3-2008 信息技术 开放系统互连 目录 第3部分：抽象服务定义.pdf》由会员分享，可在线阅读，更多相关《GB T 16264.3-2008 信息技术 开放系统互连 目录 第3部分：抽象服务定义.pdf（109页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 3510070L 79 a目中华人民共和国国家标准GBT 1 62643-2008ISOIEC 9594-3：2005代替GBT 162643 1996信息技术 开放系统互连 目录第3部分：抽象服务定义Information technology-Open Systems Interconnection-The Directory-Part 3：Abstract service definition(ISOIEC 95943：2005 Information technology-Open SystemsInterconnection-The Directory：Abstract se

2、rvice definition，IDT)2008-08-06发布 20090卜01实施丰瞀鹛紫瓣警襻瞥霎发布中国国家标准化管理委员会仅19前言引言1 范围-2规范性引用文件一3术语和定义4缩略语5约定6 目录服务概述7信息类型和公共规程一8绑定和解绑定操作9 目录读操作10目录搜索操作 目录修改操作12差错GBT 162643-2008ISOIEC 9594-3：2005目 次13搜索变元的分析附录A(规范性附录) 用ASN1描述的抽象服务附录B(资料性附录)基本访问控制的操作语义附录C(资料性附录)搜索条目家族举例，4o40弱盼的n粕叭GBT 162643-2008ISOIEC 9594-

3、3：2005刖 罱GBT 16264信息技术开放系统互连 目录包括以下10个部分：第1部分：概念、模型和服务的概述；第2部分：模型；第3部分：抽象服务定义；第4部分：分布式操作规程；第5部分：协议规范；第6部分：选定的属性类型；第7部分：选定的客体类；第8部分：公钥和属性证书框架；第9部分：复制(待发布)；第10部分：公用目录管理机构的系统管理用法(待发布)。本部分是GBT 16264的第3部分。本部分等同采用ISOIEC 95943：2005信息技术开放系统互连 目录抽象服务定义，仅有编辑性修改。本部分代替GBT 1626431996。本部分与GBT 1626431996的差异在于：增加13

4、章搜索变元的分析；扩展了各章节的功能。本部分的附录A是规范性附录，附录B和附录C是资料性附录。本部分由中华人民共和国信息产业部提出。本部分由全国信息技术标准化技术委员会归口。本部分起草单位：中国电子技术标准化研究所。本部分主要起草人：徐冬梅、冯惠、张翠、宋戚阳、胡顺。本部分于1996年首次发布，本次为第一次修订。GBT 162643-2008ISOIEC 95943：2005引 言GBT 16264的本部分连同本标准其他部分是为方便信息处理系统之间的互连以提供目录服务而制定的。所有这些系统的集合，连同它们所拥有的目录信息可被视为一个整体，被称为“目录”。目录所拥有的信息，总称为目录信息库(D1

5、B)，典型地被用于方便客体之间的通信、与客体的通信或有关客体的通信等，这些客体如应用实体、个人、终端和分布列表等。目录在开放系统互连中扮演了重要角色，其目标是，在它们自身的互连标准之外做最少的技术约定的情况下，允许下述各种信息处理系统之间的互连：来自不同生产厂商；具有不同的管理；具有不同的复杂程度，以及有不同的年代。本部分定义了目录为其用户提供的能力。本部分提供了一些基础框架，在此框架基础上，其他标准化组织和业界论坛可以定义工业配置集。在这些框架中定义为可选的许多特性，可通过配置集的说明，在某种环境下作为必选特性来使用。ISOIEC 9594的第5版是原有国际标准第4版的修订和增强，但不是替代

6、。在系统实现时仍可以声明为符合第4版。然而，在某些方面，将不再支持第4版(即不再消除一些报告上来的差错)。建议在系统实现时尽快符合第5版。第5版详细定义了目录协议的第1版和第2版。第1版和第2版仅定义了协议第1版。本版本(第5版)中定义的许多服务和协议被设计为可运行在第1版下。然而，一些增强的服务和协议，如署名差错，只有包含在操作中的所有的目录条目都协商支持协议第2版时才可运行。无论协商的是哪一版，第5版中所定义的服务之间的差异和协议之问的差异，除了那些特别分配给第2版的外，都可以使用GBT 162645-2008中定义的扩展规则凋节。本部分使用术语“第1版系统”来指遵循国际标准第1版的所有系

7、统即Is0IEC 9594：1990版本；本部分使用术语“第2版系统”来指遵循国际标准第2版本的所有系统，即ISOIEC 9594：1995版本；本部分使用术语“第3版系统”来指遵循国际标准第3版的所有系统，即ISOIEC 9594：1998版本；本部分使用术语“第4版系统”来指遵循国际标准第4版的所有系统，即ISOIEC 9594：2001版本的第1部分到第10部分；本部分使用术语“第5版系统”来指遵循国际标准第5版的所有系统，即IsOIEC 9594：2005版本。GBT 162641996是参照ISOIEC 9594：1990而制定的。我国没有制定与国际标准第2版、第3版、第4版对应的国

8、家标准。本部分提到的版本号是指国际标准的版本号。附录A是规范性附录，提供了目录抽象服务的ASN1模块。附录B是资料性附录提供了用于描述与基本访问控制相关的语义的图表，它适用于目录操作的处理。附录c是资料性附录，给出了条目族使用的例子。1范围GBT 162643-2008ISOIEC 95943：2005信息技术开放系统互连 目录第3部分：抽象服务定义GBT 16264的本部分按抽象方法定义了目录所提供的外部可视服务。本部分不规定具体实现或产品。2规范性引用文件下列文件中的条款通过GBT 16264的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修

9、订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GBT 938711998 信息技术 开放系统互连 基本参考模型 第1部分：基本模型(idt 1SOIEC 74981：1994)GBT1626212006信息技术 抽象语法记法一(ASN1) 第1部分：基本记法规范(ISOIEC 88241：2002，IDT)GBT 1626222006信息技术 抽象语法记法一(ASN1) 第2部分：信息客体规范(ISOIEC 88242：2002，IDT)GBT 1626232006 信息技术 抽象语法记法一(ASN1)

10、 第3部分：约束规范(ISOIEC 88243：2002，IDT)GBT 1626242006信息技术(ISOIEC 8824 4：2002，IDT)GBT 1626412008信息技术(1SOIEC 95941：2005，IDT)抽象语法记法一(ASN1) 第4部分：ASN1规范的参数化开放系统互连 目录第1部分：概念、模型和服务的概述GBT l 62642 2008信息技术开放系统互连 目录第2部分：模型(ISOIEC 959422005，IDT)GBT 162644 2008信息技术开放系统互连目录第4部分：分布式操作规程(ISOIEC 9594 42005，IDT)GBT 162645

11、2008信息技术开放系统互连 目录第5部分：协议规范(1SOIEC 959452005，IDT)GBT 1 626462008 信息技术开放系统互连目录第6部分：选定的属性类型(1SO1EC 959462005，IDT)GBT 1 626472008信息技术开放系统互连 目录第7部分：选定的客体类(IsOIBc 9594 72005，IDT)ISOIEC 95948：2005信息技术开放系统互连 目录：公钥和属性证书框架ISOIEC 95949：2005信息技术 开放系统互连 目录：复制ISOIEC 959410：2005信息技术开放系统互连 目录：公用目录管理机构的系统管理用法3术语和定义下

12、列术语和定义适用于GBT 16264的本部分。1GBT 1626432008ISoIEC 95943：200531基本目录定义下列术语在GBT 1626412008中规定：a) 目录directory；b) 目录信息库directory information base；c) (目录)用户(directory)user。432目录模型定义下列术语在GBT 1626422008中规定：a) 目录系统代理directory system agent；b) 目录用户代理directory user agent。33目录信息库定义下列术语在GBT 1626422008中规定：a)别名条目alias e

13、ntry；b) 目录信息树directory information tree；c) (目录)条目(directory)entry；d) 直接上级immediate superior；e)直接上级条目客体immediately superior entryobjectf) 客体object；g) 客体类object class；h)客体条目 object entry；i)下级subordinate；J)上级superior；k)祖(条目)ancestor；1)(条目的)家族family(of entries)；m) 复合条目 compound entry。34目录条目定义下列术语在GBT 16

14、26422008中规定：a) 属性attribute；b)属性类型attribute typec) 属性值attribute value；d)属性值断言attribute value assertion；e) 上下文context；f)上下文类型context type；g)上下文值context value；h) 操作属性operational attribute；i)用户属性user attribute；j) 匹配规则 matching rule。35名(称)定义以下术语在GBT 1626422008中规定：a)别名 alias，alias name；b)可辨别名distinguished

15、 name；c) (目录)名(称) (directory)name；d) 声称名purported name；e)相关可辨别名 relative distinguished name。2GBT 162643-2008ISOIEC 9594-3：200536分布式操作定义以下术语在GBT 1626442008中规定：a)绑定DSA boundDSA；b)链接chaining； c)初始执行者initial performer；d)转向推荐referral。37抽象服务定义下列术语和定义适用于本部分。371附加搜索additional search指的是从joinBaseObject开始的一次搜索

16、，由始发者在search请求中规定。372贡献成员contributing member复合条目中的一个家族成员，它或者对阅读、搜索或者对修改条目操作做出贡献。373明确未标记的条目explicitly unmarked entry依据管理搜索规则引用的控制属性中规定的规范，未包括在SearchResult中的一个条目或家族成员。374家族组合family grouping出于操作评估目的，将复合属性的成员组合在一起。375过滤器filter有关条目的某些属性存在与否或属性值的断言，以便限制搜索范围。375始发者originator始发操作的用户。377参与成员participation me

17、mber一个家族成员，或者是一个贡献成员，或是一个家族组合成员，作为整体匹配一个search过滤器。378主搜索primary search从baseObject开始的搜索，按照始发者在search请求中规定。379张弛relaxation如果接收的太少，为获取更多地匹配条目；或者如果接收的太多。为得到较少的匹配条目，在搜索期间对过滤器行为所做的渐进修改。3710服务控制service controls作为操作一部分传递的参数，用于约束其性能的不同方面。3711束strand包括从叶子家族成员一直到祖(条目)路径上的全部成员的家族组合。家族成员将驻于各束中，束3GBT 162643-20081

18、50IEC 9594-3：2005的数量为其下叶家族成员的数量(直接或非直接下级)。3712流结果streamed result包括在多个响应中的单个操作结果。4缩路语下列缩略语适用于GBT 16254的本部分。AVA 属性值断言(Attribute Value Assertion)DIB 目录信息库 (Directory Information Base)D1T 目录信息树(Directory Information Tree)DMD 目录管理域(Directory Management Domain)DSA 目录系统代理(Directory System Agent)DUA 目录用户代理(

19、Directory User Agent)RDN 相关可辨别名(Relative Distinguished Name)5约定术语“目录规范(或本目录规范)”指的是GBT 162643。术语“系列目录规范”指的是GBT 16264(或者Is0IEC 9594)的所有部分。本目录规范使用术语“第1版系统”来指遵循系列目录规范第1版的所有系统，即GBT 162641996版本。本目录规范使用术语“第2版系统”来指遵循系列目录规范第2版本的所有系统，即ISOIEC 9594：1995版本。本目录规范使用术语“第3版系统”来指遵循系列目录规范第3版的所有系统，即ISOIEC 9594：1998版本。本

20、目录规范使用术语“第4版系统”来指遵循系列目录规范第4版的所有系统，即IsOIEC 9594：2001年版本的第1部分到第10部分。本目录规范使用术语“第5版系统”来指遵循系列目录规范第5版的所有系统，即GBT 162642008版本的第1部分到第7部分以及Is0IEC 9594 8：2005、ISOIEC 95949：2005和IsOIEC 959410：2005。本目录规范使用粗体字体来表示ASNI符号。若在常规文本中要表示ASN1的类型和值时，为了区别于常规文本，使用了粗体字表示。为了表示过程的语义而；I用过程名时，为了区别于常规文本，使用了粗体字表示。访问控制许可使用斜体字表示。6目录

21、服务概述如GBT 1626422008中所描述，通过DUA的访问点提供目录服务，每个访问动作代表一个用户。这些概念如图l描述。通过访闻点，利用若干目录操作，目录为其用户提供服务。4圈1访问目录有三种不同类型的目录操作：a)目录读操作，它查询单个目录条目；b) 目录搜索操作，它查询若干潜在的目录条目；以及GBT 162643-2008ISOIEC 95943：2005c)目录修改操作。目录读操作、目录搜索操作和目录修改操作分别在第9章、第lo章和第11章中规定。目录操作的一致性在GBT 162645 2008中规定。7信息类型和公共规程71 引言本章标识(在某些情况下定义)后面的目录操作定义中使

22、用的若干信息类型，这里所涉及的信息类型是那些用于多种操作，或在将来用于多种操作的通用信息类型，或者使用这些信息类型定义更复杂的或自包含的信息类型。目录服务定义中使用的若干信息类型确实在其他地方进行了定义。72标识了这些类型，并指示了其定义的来源。73至710分别标识并定义了一种信息类型。本章还规定了应用于多数或全部目录操作的若于公共规程元素。72在其他标准中定义的信息类型以下信息类型在GBT 1626422008中规定：a) Attribute；b) AttributeType；c)AttributeValue；d) AttributeValueAssertion；e) Context：f)

23、ContextAssertion；g)DistinguishedNameh)Name；i)0PTIoNALLYPROTECTED：j) OPTIONALLYPROTECTEI)_SEQ；k) RelativeDistinguishedName。以下信息类型在GBT 162646 2008中规定：a) PresentationAddress。以下信息类型在IsOIEc 9594 8：2005中规定：a) Certificate lb) SIGNED：c) CertificationPath。以下信息类型在GBT 169751中规定：a) InvokeId。以下信息类型在GBT 162644200

24、8中规定：a) OperationProgress；b)ContinuationReference。73公共变元CommonArguments信息可限定目录执行的每个操作的调用。CommonArguments：=SETserviceControlssecurityParametersrequestoroperationProgressServiceControls DEFAULT)，SecurityParameters OPTIONAL，DistinguishedName OPTIONAL，0perationProgressGBT 162643-2008ISOIEC 95943=2005DEF

25、AULTnameResolutionPhase notStarted)，aliasedRDNs 26 INTEGER OPTIONAL，criticalExtensions E253 BIT STRING OPTIONAL，refereneeType 243 RefereneeType OPTIONAL，entryOnly 23 BOOLEAN DEFAULT TRUE，nameResolveOnMaster 21 BOOLEAN DEFAULT FALSE，operationContexts 20 ContextSelection OPTIONAL，familyGrouping 19 Fam

26、ilyGrouping DEFAULT entryOnly)servicecontrols组件在75中规定，不存在时表示控制为空集。SecurityParameters组件在710中规定。如果操作变元被请求方签名，那么SecurityParameters组件应包括在变元中。SecurilyParameters组件缺省时表示为空集。requestor可辨别名标识某个抽象操作的始发者，它包含用户与目录建立绑定时使用的用户名。当要对请求签名(见7i0)时，可以要求这个组件，并且包含发起请求的用户名。注1：当用户拥有个由上下文区分的、可选的可辨别名时，用作requestor值的名(称)应是所知的主可辨

27、别名。否则，基于requestor值的鉴别和访问控制可能无法按要求工作。OperationProgress、referenceType、entryOnly、exclusions和nameResolveOnMaster组件在GBT 1626442008中定义。它们在以下情况下由DUA提供：a) 当按照DSA响应先前操作而返回的继续引用进行动作，并且其值由DUA从继续引用中复制；或b)当DUA代表管理DSA信息树的管理用户，并且manageDSAIT选项在服务控制中设置。aliasedRDNs组件指示一个DSA，在先前的操作中，其操作的客体组件通过别名解除引用进行创建，整数值指示客体中RDN的数量

28、，它来自没有引用的别名(该值应在以前操作的转向推荐响应中设置)。注2：提供本组件是为了与目录第1版实现的兼容性。根据目录规范之后版本实现的DUA(和DSA)将总是从后续请求的CommonArguments中省略该参数。这样如果别名解除引用至进一步别名，目录将不发出差错信号。operationContexts组件提供了一组上下文断言，该组上下文断言适用与本操作生成的属性值断言和条目信息选择，否则对于相同的属性类型和上下文类型不包含上下文断言。如果operationContexts不出现，或不描述某个特定的属性类型或上下文类型，那么DSA将使用缺省的上下文断言，如GBT1 62642-2008的7

29、61、8922和128所述。如果选择了allContexts，那么所有属性类型的所有上下文都将是有效的，DSA提供的各上下文缺省值都将被超越(contextselection在76中定义)。对于给定的操作处理，familyGrouping用于描述应选择哪个家族成员，在732中对它有更为详细的描述。731临界扩展criticalExtensions组件提供了一种机制，以列出一组对目录抽象操作的执行来说是临界的扩展。如果扩展操作的始发者希望指示该操作必须和一个或多个扩展一起执行(即没有这些扩展的操作是不能接受的)这种执行是通过设置与该扩展相对应的criticalExtensions位而进行的。如果

30、目录和目录的某部分不能执行一个临界扩展，它返回一个unavailableCriticalExtension指示(作为一个serviceError或一个PartialOutcomeQualifier)。如果该目录不能报告一个非临界的扩展，则它忽略扩展的存在。本目录规范不建立有关执行DSA对其所接收的PDU进行解码和处理的次序的规则。收到一个未知临界扩展的DSA将返回一个带问题unavailableCriticalExtension的ServieeError，以发出信号通知操作失败。目录规范定义了若干扩展。各扩展采用以下形式，即BIT STRING(比特束)中的额外编号位，或6GBT 162643

31、-2008ISOIEC 9594-3：2005者集合(SET)或序列(SEQUENCE)中的额外组件，第1版本系统忽视了这一点。每一种扩展被分配了一个可在criticalExtensions中设置成比特数的整数标识符。如果扩展的重要性设为f晦界，那么DUA将在criticalExtension5中设置相应的位。如果扩展的重要性设为非临界，那么DUA在criticalExtensions中可以或不可以设置相应的位。扩展、扩展标识符、许可扩展的操作、推荐的f晦界性、定义扩展的章、相应的LDAP控制(如果有的话)，均示于如表1。表1扩展扩 展 标识符 操 作 I临界性 定义(条号) I。DAP控制s

32、ubentries 1 所有 非临界 7 5 13814I42031101eopyShallDo 2 读、比较、列表、搜索 非临界 7 5attribute size 1imit 3 读、搜索 非临界 7 5extraAttributes 4 读、搜索 非临界 7 6modifyRightsRequest 5 读 非临界 91pagedResuItsRequest 6 列表、搜索 非临界 101 1 2 84011355614319matchedValuesOnly 7 搜索 非临界 102 128260 l 334481023extendedFiher 8 搜索 非临界 102targetS

33、ystem 9 增加条目 临界 111增加条目、移除条目、修riseAliasOnUpdate 10 临界 11 1改条目newSuperior 11 修改DN 临界 11 4manageDSAlT 12 所有 临界 75、713 2168401113730342读、比较、列表、搜索、增useContexts 13 加条目、修改条目、修 非临界 76、78改DNpartialNameResolution 14 凄、搜索 非临界 7 5oversDecFiIter 15 搜索 非临界 1013f)selectionOnModify 16 修改条目 非临界 1132安全参数17 所有 非f临界 7

34、10Response安全参数18 所有 非临界 7100peration code安全参数Attribute certification 19 所有 非临界 7 10path安全参数20 所有 非临界 710Error ProtectionSPKM Credentials 21 目录绑定 (注3) 81 1Bind token-Response 93 目录绑定 非临界 81 1GBT 1 62643-2008ISOIEC 9594-3：2005表1(续)扩 展 标识符 操 作 临界性 定义(条号) I。DAP控制Bind token-Bind IntAlg，Bind Int Key，Conf

35、Alg 23 目录绑定 非临界 811and Conf Key InfoBind tokenD1RQOP(ob24 目录绑定 非临界 811solete)1022、第13章、Service administration 25 读、搜索、修改条目 临界GBT 162642第16章entryCount 26 搜索 非临界 10I3hlerarchvSelection 27 搜索 非临界 7 5relaxation 28 搜索 非I|缶界 78非临界 7 32、78 3、familyGrouping 29 比较、搜索，移除条且 非临界 922，102、临界 1122非临界 764、771、famil

36、yReturn 30 读、搜索、修改条目 非I临界 913、102 3、非临界 113 3dnAttributes 31 搜索 非临界 1022friend attributes 32 读、搜索 非临界 76、7，8 2Abandon of paged results 33 列表、搜索 临界 79Paged results oil the DSP 34 列表、搜索 非临界 7，9replaceValues 35 修改条目 临界 11 3i、1132注1：为首个扩展提供了标识符1，对应BIT STRING的位1。BIT STRING的第0位没有使用。注2：对增加条目、移除条目、修改条目、修改DN

37、使用加密的或签名的和加密安全转换或者对任何差错或结果使用保护，要求第2版或更高版本的协议。注3：SPKM证书扩展至关重要除非用在利用第2版或更高版本建立的关联中。732家族组合家族组合允许将复合条目的单个家族成员、若干个家族成员或所有的家族成员结合在一起，以便在操作i平估之前做综合考虑。这些语义可以用于以下操作(如下列描述所述)：比较(定义比较属性可能处于的范围)、搜索(定义可能进行过滤的组)、移除条目(定义移除组)。下列ASN1用于选择家族成员。FamilyGrouping：一ENUMERATED8compoundEntry(1)，(2)，GBT 162643-2008flSOIEC 959

38、43：2005strands (3)，muhiStrand (4)entryOnly含义是将在组中对操作选择的特定家族成员进行考虑。这是缺省值，确保向后兼容于目录规范的先前版本。compoundEntry含义是将把操作选择的、完整的复合条目看作是一个结合了所有属性的单元。对移除条目操作，只有当规定的客体名(称)是复合条目祖(条目)的客体名(称)时才适用，这将造成全部家族成员被相同操作移除(依据访问控制)。strands含义是操作将选择所有与家族成员关联的束。该选项对移除条目操作无效。对搜索操作，认为单个束是用于过滤器目的。如果一个或多个束的复合属性集匹配与过滤器匹配，那么认为复合条目与过滤器匹

39、配。如果基本客体是一个孩子成员，那么只考虑那些通过基本客体的束。对比较操作，条目所属的所有束中所有家族成员的所有属性将会在比较中用到。multiStrand只适用于搜索操作，对家族信息限定过滤器的匹配规则。其他操作被忽略。它规定每次只考虑来自复合条目中每个组的一个束，但所有结合在一起考虑。如果基本客体是一个孩子家族成员，那么muhiStrand不适用，在这种情况下，muhiStrand将被忽略，entryOnly将被替换。74公共结果CommonResuhs或CommonResuhsSeq信息用于限定目录能执行的各检索操作的结果。另外，它出现在任何返回的差错中。CommonResults：一S

40、ETsecurityParameters 30 SeeurityParameters oPTl0NAL，performer 29DistinguishedName OPTIONAL，aliasDerefereneed 28B()0u认N DEFAULT FALSE，notification 27 SEQUENCE SIZE(1MAx)OF Attribute OPTIONAL)CommonResultsSeq：一SEQUENCEsecurityParameters 30 SecurityParameters OPl：IONAL，performer 29DistinguishedName 0PT

41、IONAL，aliasDerefereneed 28BODI点AN D、AIr FALSE，notification 27 SEQUENCE SIZE(1MAX)OF Attribute OPTIONAL)注：CommonResults和CommonResuhsSeq由相同的组件组成。当被COMPONENT类型包含在集合类型中时，使用前者，而后者类似地用在序列类型中。SecurityParameters组件在710中规定。如果目录对结果进行签名，那么SecurityParameters组件将包括在结果中。SecurityParameters组件不出现将被认为相当于一个空集。performer可

42、辨别名用于确定某个特定操作的执行者。当对结果进行签名时可能需要它(见710)，并将持有签名结果的DSA的名(称)。当作为操作目标的客体或基本客体的假设名(称)包括任何已解除引用的别名时，aliasDereferenced组件将被设为TRUE。notification组件将用于限定返回结果和差错APDU，例如用于提供更加精确的差错信息。标准通告属性在GBT 1 626462008的512中定义。此类通告属性不必储存在目录条目中。75服务控制Servicecontrols参数包含指导或限制提供服务的控制信息。ServieeControls：一SETprioritytimeLimitoService

43、ControlOptions DEFAuLT)，1INTEGERlow(o)，medium(1)，high(2)凇uJ medium，23 INTEGER OPTIONAL，9GBT 162643-2008ISOIEC 9594-3：2005sizeLimit 3INTEGER OPTIONAL，scopeOfReferral 43 INTEGERdmd(0)，country(1)OPTIONAL，attributeSizeLimit 5INTEGER OPTIONAL，manageDSAITPlaneRef6SEQUENCEdsaName Name，agreementID Agreement

44、ID)OPTIONAL，serviceType 7OBJECT IDENTIFIER OPTIONAL，userClass 8INTEGER OPTIONAL)ServiceControlOptions：一BIT STRINGpreferChaining (0)，chainingProhibited (1)，localScope (2)，dontUseCopy (3)，dontDereferenceAliases (4)，subentries (5)，copyShallDo (6)，partialNameResolution (7)，manageDSAIT (8)，noSubtypeMatch

45、 (9)，noSubtypeSelection (10)，countFamily (11)，dontSelectFriends (12)，dontMatchFriends (13)，allowWriteableCopy (14)options组件包含若干指示，若设置，则每个指示断言所建议的条件。因此：a)preferChaining指示优先选择是链接而不是转向推荐提供服务，不强迫目录依从该优先选择。b)chainingProhibited指示禁止链接以及其他有关目录的请求分发方法。c)localScope指示操作限于本地范围。该选项的定义本身是一个本地问题，例如，在一个单个DSA或一个单个DM

46、D内。d)dontUseCopy指示拷贝的信息(如GBT 162644 2008中定义)不会用于提供服务。e)dontDereferenceAliases指示不解除引用任何用于标识受操作影响的条目的别名。注1：允许引用别名条目本身而不是使用别名的条目例如为了读别名条目。f)subentries指示搜索或列表操作仅用于访问子条目；常规条目变得不可访问，即目录行为如同常规条目不存在。如果不设置该服务控制，那么操作只访问常规条目，子条目变得不可访问。对搜索或列表之外的各操作忽略服务控制。注2：即使子条目是不可访问的，仍观察对访问控制、模式和联合属性的子条目影响。注3：如果设定该服务控制那么可以继续将

47、常规条目规定为操作的基本客体。g)copyShallDo指示如果目录能够部分地而不是全部地满足对条目拷贝的查询要求，那么它将不链接查询。只有当不设置dontUseCopy时它才有意义。如果不设置copyShallDo，那么只有当它完整得足以允许操作彻底满足拷贝要求时，目录才使用影像数据。由于在影像拷贝中丢失某些请求的属性一个查询可能只能部分地满足要求，由于DSA不持有它没有的属性值的所有上下文信息，或者由于持有影像数据的DSA不支持有关该数据的请求匹配规则，在影像拷贝中会丢失给定属性的某些属性值。如果设置了eopyShallDo，并且目录无法彻底满足一个1 0GBT 162643-2008ISOIEC 9594-3：2005查询的要求，那么它将在返回的条目信息中设置incompleteEntry。h)partialNameResolution指示如果目录只能解析读或搜索操作中的部分声称名，即它将返回一个nameError，那么名(称)包括所有已解析RDN的条目将被认为是操作的目标，并且在结果中将partialName设为TRUE。对读