LDAP 在特定 DN 内分配用户 CRUD 权限

我正在使用 ApacheDS 和 ApacheDS studio。我编写了一个使用 Spring-LDAP 来管理用户和组的系统。用于读取/写入组的 LDAP 帐户是管理员。现在需要部署系统，系统管理员正在保护管理员凭据。我需要让他们创建一个仅对特定 DN 内的 CRUD 对象具有读取/写入权限的用户，这样我就可以将其作为管理员帐户提供给我的应用程序。最好只有某些类型的对象可以通过此帐户更新，但受限 DN 内的任何对象都可以正常工作。