Authentication 集成到LDAP的外部用户身份验证仅用于授权

我正在集成一个外部OTP解决方案，用于LDAP（Active Directory/Open LDAP）。用户使用LDAP验证的用户id和密码注册令牌，验证成功后，用户将使用令牌id和用户id在OTP系统中注册

注册期间的LDAP过程：

• 绑定到ldap.orgname.local:636（服务器），SSL帐户为“CN=ServiceUser，DC=orgname，DC=local”（ServiceUser），密码为“svcPassword”（servicePassword）
• 在根“OU=Users，DC=orgname，DC=local”（userRootDN）处的树中搜索“cn”（userNameAttribute）等于“john”的用户条目
• 在“cn=john，OU=Users，DC=orgname，DC=local”中查找条目
• 使用密码“testpass”验证“cn=john，OU=Users.DC=orgname，DC=local”
• 如果身份验证成功，OTP令牌将与用户“john”关联

在身份验证期间，用户通过令牌提供用户ID和OTP，OTP系统通过令牌和用户ID验证OTP，如果匹配，则必须查询LDAP以检索groupmember/nsrole以在系统中提供正确的访问权限

身份验证期间的LDAP进程：

• 通过匹配的OTP令牌成功进行身份验证后，执行LDAP查找以获得授权
• 绑定到ldap.orgname.local:636（服务器），SSL帐户为“CN=ServiceUser，DC=orgname，DC=local”（ServiceUser），密码为“svcPassword”（servicePassword）
• 在根“OU=Users，DC=orgname，DC=local”（userRootDN）处的树中搜索属性“cn”（userNameAttribute）等于“john”的用户条目
• 在“cn=john，OU=Users，DC=orgname，DC=local”中查找条目
• 在根“OU=Roles，DC=orgname，DC=local”（roleRootDN）处的树中搜索属性“member”（roleUserDNAttribute）等于“cn=john，OU=Users，DC=orgname，DC=local”的组条目
• 返回每个角色的“cn”（roleNameAttribute）属性值，以继续向用户授予访问权限

由于获取角色只是一个查询，此时是否有任何LDAP命令或方法可以让LDAP知道用户已通过外部身份验证，这将有助于审核日志