Базой данных основных пользователей моей сети управляет OpenLDAP. В последнее время нам нужно ввести возможность для одного пользователя действовать от имени второго пользователя. Поскольку все права и разрешения, связанные с приложением, хранятся в LDAP, мы также хотим сохранить новую схему в том же месте.
Мой вопрос: существуют ли общеизвестные схемы или лучшие практики для хранения таких делегированных разрешений в LDAP? Я слышал, что в MS Exchange есть такая функция, использующая Active Directory.
Вы, вероятно, захотите использовать Прокси-авторизация. Он использует специальные операционные атрибуты (authzTo или authzFrom), чтобы один связанный пользователь мог выполнять операции, используя удостоверение и разрешения другого пользователя.
Я использую UnboundID ldap sdk, у них есть пример выполнения операций с использованием прокси-авторизации в их javadocs для ProxiedAuthorizationV2RequestControl.