我的网络的核心用户数据库由 OpenLDAP 管理。最近我们需要引入一种可能性,让一个用户可以代表第二个用户行事。由于所有与应用程序相关的权利和权限都存储在 LDAP 中,因此我们也希望将新架构存储在同一位置。
我的问题是 - 是否有常见的架构或最佳实践来将此类委派权限存储在 LDAP 中?我听说使用 Active Directory 的 MS Exchange 中有这样的功能。
答案1
你可能想要使用代理授权它使用特殊的操作属性(authzTo或authzFrom)允许一个绑定用户使用另一个用户的身份和权限执行操作。
我使用 UnboundID 的 ldap sdk,他们有一个使用代理授权执行操作的示例ProxiedAuthorizationV2RequestControl 的 javadocs。