Я добавляю поддержку LDAP в приложение, чтобы поддерживать также группы авторизации, а не только пользователей.В настоящее время у нас нет используемой системы LDAP, а также мы не используем Active Directory.Поэтому для разработки тестового приложения я использовал сервер Osixia OpenLdap (образ Docker).
Этот сервер работает нормально, и я могу легко создавать (и аутентифицировать из приложения) отдельных пользователей,но общая структура выглядит «слишком общей» для понимания того, как должно работать руководство группы.Реализовать группы можно несколькими способами, например
- Создание и назначение пользователям нового класса объектов.Это работает, но как следует называть эти классы и в целом, это обычный подход?
- Распределение пользователей в дереве, используя иерархию, похожую на cn.group.dc.dc.Это будет работать лучше для таких пользователей, как «администратор», чем для реальных людей, чьи роли могут со временем меняться.
- Использование какого-либо атрибута (какой?) Для задания имени группы.Есть действительно много атрибутов всех видов, и мне трудно понять, какой из них следует использовать здесь.Классы, которые содержат несколько атрибутов, нацелены на очень конкретные случаи и варьируются от
bootableDevice до zarafaUser, при этом отсутствует простая вещь, такая как общая «группа авторизации», или я пропускаю.
Мы бы предпочлиреализовать группы способом, который обычно используется, чтобы сделать возможной интеграцию с существующими серверами LDAP.Я прикрепляю экран администрирования сервера, который я использую для тестирования.Для обычных Linux-подобных «есть пользователи, они принадлежат к группам», это выглядит слишком много.
