我的网络的核心用户数据库由OpenLDAP管理.最近,我们需要为一个用户提供代表第二个用户行事的可能性.由于所有与应用程序相关的权限都存储在LDAP中,我们还希望将新架构存储在同一位置.
我的问题是 – 是否存在共同着名的模式或最佳实践来在LDAP中存储此类委派权限?我听说MS Exchange中有这样的功能使用Active Directory.
您可能希望使用
Proxied Authorization.它使用特殊操作属性(authzTo或authzFrom)来允许一个绑定用户使用另一个用户的身份和权限执行操作.
我使用UnboundID的ldap sdk,他们有一个在javadocs for ProxiedAuthorizationV2RequestControl中使用Proxied Authorization执行操作的示例.