如何在LDAP中存儲組屬性（用於授權）

Question

我是LDAP新手，正在查看建模產品權限以便在LDAP中進行授權。感謝網絡上的許多優秀文章，現在我知道如何使用roles/GroupOfNames指定組成員資格，但是存儲與組成員資格關聯的屬性值的最佳做法是什麼？

例如，如果我想說用戶有權訪問產品A，B & C，我可以創建3個組並將用戶分配爲每個組的成員。但是現在我想說的是，在其他權限中，用戶具有對A的讀訪問權限，對B的訪問權限以及針對C組的訪問權限 - 他們最喜歡的顏色是綠色&用戶的代號是「1234」。

是否適合爲每個組成員身份使用自定義模式爲每個組成員身份創建單獨的流行病？

即： dc=company, dc=com ou=Users uid = 1; ou=Products uid=A (members=1) uid=B (members=1) uid=C (members=1) ou=Permissions ou=ProductA uid=1, Access=Read ou=ProductB uid=1, Access=Write ou=ProductC
uid=1, FavColour=Green, codename=1234

提前感謝！

Answer 1

LDAP屬性不能具有屬性，因此您不能擁有具有「讀取」或「寫入」屬性的成員屬性的產品。

您可能必須添加子樹的讀取和每個產品正在寫入，使得<product>用戶的memberhip給他基本的訪問，不管它是什麼，或者甚至沒有，而<product>/Read成員添加讀取訪問：同樣寫。

您對C組的問題與授權無關，我認爲它完全不在LDAP的範圍之內。我會把它放在一個數據庫中。 LDAP非常適合它的用途，但很難轉向其他用途。你可以很容易地將它用於任何分層結構，但對我來說這看起來不像LDAP案例。