我正在开发一个 Web 应用程序,我需要使用LDAP进行身份验证/授权。
我对LDAP的经验有限,我想了解如何定义模型,或使用现有模型(如果已建立模型)将授权信息存储在 LDAP 服务器中。通过查看各种 LDAP 服务器,在我看来,虽然身份验证的处理方式或多或少是相同的,但授权是特定于 LDAP 服务器的,甚至可能是特定于应用程序的。
例如,我见过一个Oracle Internet Directory模型,其中使用组来指示角色,并且组的用户在该组(即角色)的条目中显示为多值属性。我还见过在 Microsoft Active Directory安装中使用对称方法的模型,即用户所属的组和权限在用户条目中表示为多值属性。所以我的问题是:
[1] 是否有关于如何在 LDAP 服务器上组织授权信息的任何已建立/突出的模型?
[2] 如果存在这种情况,我可以依靠现有工具来管理角色、权限和用户吗?我的想法是将该工具交给客户的管理员,而不必自己也开发自定义组/角色/权限/用户管理前端模块。
除了组之外,没有在 LDAP 服务器实现中保持一致的“模式”。
RBAC 涵盖了基于角色的访问控制理论,但实现方式之间的差异很大。
-吉姆