Architecture 如何在LDAP中存储组属性(用于授权)
我是LDAP新手,正在研究在LDAP中为授权建模产品权限。多亏了web上的许多优秀文章,我现在知道了如何使用roles/GroupOfNames指定组成员身份,但是存储与组成员身份相关联的属性值的最佳实践是什么 例如,如果我想说一个用户可以访问产品a、B和C,我可以创建3个组,并将该用户分配为每个组的成员。然而,现在我想说的是,在其他权限中,用户拥有A的读访问权限,B的写访问权限,C组的读访问权限-他们最喜欢的颜色是绿色&用户的代码名是“1234” 是否适合为每个组成员创建单独的继承人,并为每个组成员创建自定义模式 即:Architecture 如何在LDAP中存储组属性(用于授权),architecture,ldap,Architecture,Ldap,我是LDAP新手,正在研究在LDAP中为授权建模产品权限。多亏了web上的许多优秀文章,我现在知道了如何使用roles/GroupOfNames指定组成员身份,但是存储与组成员身份相关联的属性值的最佳实践是什么 例如,如果我想说一个用户可以访问产品a、B和C,我可以创建3个组,并将该用户分配为每个组的成员。然而,现在我想说的是,在其他权限中,用户拥有A的读访问权限,B的写访问权限,C组的读访问权限-他们最喜欢的颜色是绿色&用户的代码名是“1234” 是否适合为每个组成员创建单独的继承人,并为每个
dc=公司,dc=com
ou=用户
uid=1;
ou=产品
uid=A(成员=1)
uid=B(成员=1)
uid=C(成员=1)
ou=权限
ou=产品A
uid=1,Access=Read
ou=产品B
uid=1,Access=Write
ou=产品C
uid=1,FavColour=Green,codename=1234
提前谢谢 LDAP attributes不能有属性,因此不能有一个成员属性为“read”或“write”的产品 您可能需要在每个产品下添加用于读写的子树,这样用户的
/Read关于C组的问题与授权无关,我想说它完全超出了LDAP的范围。我会把它存入数据库。LDAP非常适合它的用途,但很难转向其他用途。您可以非常轻松地将其用于任何层次结构,但在我看来,这一点都不像LDAP案例。感谢您成为唯一的响应者!我希望能对我提出的解决方案发表一些评论。这是个坏主意吗?与您建议的只创建单个组相比,它的效率是高还是低?虽然我的示例被简化了,但我们在大约10个产品(组)上划分了大约50个权限。如果你可以延长你的评论,那么赏金就是你的了!