У меня есть веб-приложение, и я хочу контролировать, какой пользователь может видеть какие данные. Поэтому я подумал, что пользователь может принадлежать к группе (например, администратор базы данных, специалист по промежуточному программному обеспечению, ребята из UNIX и т. д.), а вошедший в систему пользователь может видеть только свои данные в приложении.
Я хочу, чтобы LDAP выполнял аутентификацию. Я предполагаю, что в LDAP не указаны такие группы (т.е. я не хочу использовать группы LDAP, поскольку не могу заставить LDAP компании создавать группы и помещать пользователей в эти группы).
Я думаю о гибком решении, таком как возможность использовать настраиваемый атрибут для каждого пользователя (скажем, с именем «acces_groups»), какие группы могут быть перечислены через запятую.
Я читал, что схема объектного класса (например, OrganizationPerson) необходимо изменить для этого. Но есть ли простой способ добавить такой пользовательский атрибут пользователю в LDAP (я говорю об уже работающем LDAP компании)? Или как бы вы решили это (без нарушения/нарушения текущего LDAP)? Я не сказал, какой тип LDAP (OpenLDAP, Active Directory и т. д.) по той причине, что я хотел бы иметь здесь общее решение.