我的networking核心用户数据库由OpenLDAPpipe理。 最近我们需要引入一个用户代表第二个用户的可能性。 由于所有与应用程序相关的权利和权限都存储在LDAP中,我们也希望将新的模式存储在同一个地方。
我的问题是 – 是否有共同的名称模式或最佳做法来存储在LDAP这样的委托权限? 我听说在使用Active Directory的MS Exchange中有这样的function。
你可能想要使用Proxied授权 。 它使用特殊的操作属性( authzTo或authzFrom )来允许一个绑定用户使用另一个用户的身份和权限执行操作。
我使用UnboundID的ldap sdk,他们有一个在ProxiedAuthorizationV2RequestControl的javadoc中使用Proxied Authorization执行操作的例子。