我正在开发一个Web应用程序,并且要求使用LDAP进行身份validation/授权。
我对LDAP的经验有限,我想了解如何定义模型,或者使用现有的模型(如果有的话)来将授权信息存储在LDAP服务器中。 通过查看各种LDAP服务器,在我看来,虽然身份validation或多或less都以相同的方式处理,但授权是LDAP服务器特定的,甚至可能是特定于应用程序的。
例如,我已经看到了一个Oracle Internet Directory模型,其中组用于指示angular色,组的用户在该组(即angular色)条目中显示为多值属性。 我还看到了在Microsoft Active Directory安装中使用对称方法的模型,即用户所属的组和权限在用户条目中表示为多值属性。 所以我的问题是:
[1]是否有关于如何在LDAP服务器上组织授权信息的已build立的/突出的模型?
[2]如果存在这样的话,我可以依靠现有的工具来pipe理angular色,权限和用户吗? 我的想法是将该工具交给客户的pipe理员,而不必自己开发自定义的组/angular色/ privilleges /用户pipe理前端模块。
除了组之外,在LDAP服务器实现中没有“模式”是一致的。
RBAC涵盖了基于angular色的访问控制的理论,但是各种实现的实现差异很大。
-Jim