Есть ли ожидаемое / стандартизированное поведение для приложения, которое аутентифицируется через LDAP, когда один из его зарегистрированных пользователей изменил свое DN? (Или, в более общем смысле, когда их эффективный принципал меняется, что, как правило, является их DN. Вместо этого я скажу «принципал», хотя обычно я думаю «DN».)столкнувшись с этой проблемой: https://gitlab.com/gitlab-org/gitlab-foss/issues/993
В их случае (на основе commit , связанного в этой проблеме) они, кажется, решают эту проблему, используя несколько атрибутов для идентификации пользователей вместо одного. , так что одно изменение не помешает им вернуться обратно к одному и тому же пользователю LDAP.
Мне кажется, доступны следующие параметры:
- Не пытайтесьпредотвратить проблему, но предоставить какой-либо метод для изменения сохраненного принципала (либо в приложении, либо с помощью модификаций БД)
- Попробуйте предотвратить проблему, выбрав (автоматически или вручную пользователем) лучший статический атрибут пользователя для использования. как принципал
- Попытайтесь смягчить проблему путем перекрестной ссылки на несколько атрибутов, как в приведенных выше ссылках
Какой из них будетТед / "лучший" подход здесь, если есть?