有人能告诉我在 LDAP 上建模 RBAC 的最佳实践吗?我很困惑,不确定我是否应该将 LDAP 组视为角色,还是只是某些自定义 OU 中的用户。
有任何具有任务-操作\角色\用户方案的实际示例(一个用户,每个用户多个角色,每个角色多个操作任务)吗?
顺便说一句:目标系统是.net、java 和 iSeries
答案1
LDAP 是客户端和数据存储之间的协议。如何存储数据取决于您如何定义架构,架构通常包含 objectClasses 和 attributetypes。您还可以定义自定义架构,该架构可以利用标准化架构中的属性,例如 userPassword 属性。寻找一些现有的解决方案,例如 pam_ldap 和 pam_nss 在 Unix 上用于身份验证的方式;或者设计您自己的解决方案:(1) 设计架构;(2) 设计自定义客户端以及一个让您的生活更轻松的配置文件。