角色、权限和用户的 LDAP 授权模式

我正在开发一个 Web 应用程序，并且需要使用LDAP用于身份验证/授权目的。

我的经验有限LDAP我想了解如何定义模型，或者使用现有模型（如果有的话）将授权信息存储在 LDAP 服务器中。通过查看各种 LDAP 服务器，我发现尽管验证或多或少以同样的方式处理，授权是 LDAP 服务器特定的，甚至可能是应用程序特定的。

例如，我见过Oracle 互联网目录模型中，组用于指示角色，组的用户作为该组（即角色）条目中的多值属性出现。我还看到过在 Microsoft活动目录安装，即用户所属的组和权限在用户的条目中显示为多值属性。所以我的问题是：

[1] 关于如何在 LDAP 服务器上组织授权信息，是否有任何已建立/突出的模型？

[2] 如果存在，我是否可以依赖现有工具来管理角色、权限和用户？我的想法是将该工具交给客户的管理员，而不必自己开发自定义组/角色/权限/用户管理前端模块。