我想为我的多台机器使用LDAP创建一个身份验证系统。
我已经创建了一个基本的结构,但我不确定它是否是最好的解决方案。
基地:
我有机器M1,M2,M3,M5 (其中有数据库D1,D2 & D3 )
用户列表U1,U2,U3,U4,U5,U6,U7,U8,U9,U10
读取器类型(特定于机器)、写入器(特定于机器)、管理器
需求:
每台机器都可以有一组读者和一组用户。
写用户就像各自机器的管理员。
read用户的权限非常有限,可以从可用的数据库中读取很少的数据库。
使用的方法:
创建一个节点,该节点包含所有用户的密码信息列表,该节点还允许数据库。
创建带有角色占用列表的Manager角色
为每台具有各自角色的机器创建了2个角色(读取器、写入器)
定义访问控制
现在,当用户说U1试图读取机器M4...first的数据库D2时,他必须在用户列表中,然后他必须是M4机器的角色或读者/作者角色。
我的问题出现在这里,
1.为了检查是否允许他读取数据库D2,我们必须搜索用户节点来获取数据库信息,并查看它是否包含允许的D2。
的另一个问题是
那么,是否有更好的方法来设计DIT,使之不。减少了管理ldap信息的步骤??
...and有检查数据库访问的更好方法吗??
发布于 2012-11-05 01:12:53
为每个数据库创建一个organizationalRole条目,并将其roleOccupants作为允许使用它的用户。引用完整性覆盖将解决删除用户条目(或将其重命名)的问题。
https://stackoverflow.com/questions/13029495
复制相似问题