Installer et déployer LDAP pour ses propres applications

Pour des autorisations plus granulaires comme "a le droit de modifier la page d'accueil", je conserverais ces droits au niveau de l'application, mais pour les autorisations simples de type "a le droit de lire et d'écrire", je les implémenterais dans ldap pour des raisons de simplicité.

Il faut savoir que le nombre maximum de groupes auxquels un utilisateur peut être associé sur certaines plates-formes est limité. C'est pourquoi j'utiliserais un nom personnalisé pour l'attribut d'appartenance aux groupes d'applications afin que vous n'ayez même pas à y penser.

Utilisez LDAP pour authentifier l'utilisateur et la BD d'application pour déterminer si cet utilisateur a des droits ou non. Vous pouvez consulter le site podría Il n'est pas possible de le faire uniquement dans LDAP, mais la séparation présente des avantages et facilite réellement la gestion. Ce n'est pas différent de la gestion des comptes utilisateurs dans un domaine et des autorisations de fichiers/dossiers dans un autre.

Mettez tout dans LDAP, c'est à ça que ça sert.

Il convient de souligner que, même s'il peut être tentant d'utiliser Active Directory en raison de ses capacités LDAP, ce n'est pas forcément le meilleur choix. AD, comme beaucoup de produits Microsoft, a tendance à bien fonctionner lorsque vous vous en tenez aux produits Microsoft, c'est lorsque vous devez commencer à mélanger les environnements que les choses deviennent bizarres. Cependant, Microsoft a le mérite de s'être grandement amélioré dans ce domaine au cours des dernières années. Le plus gros problème que vous risquez de rencontrer est de devoir modifier le schéma d'AD pour prendre en charge vos applications. Les modifications de schéma ne sont pas nécessairement prises en charge par Microsoft et risquent de compliquer toute mise à niveau future d'AD. Bien qu'en toute équité, cela soit vrai pour tout serveur LDAP, je dirais qu'il est plus fréquent que des modifications de schéma soient apportées aux serveurs LDAP. Si vous disposez d'un serveur AD existant, vous pouvez implémenter une opération de synchronisation entre votre serveur LDAP (tel que Red Hat Directory Server) et votre serveur AD. Cela peut vous permettre de synchroniser les noms d'utilisateurs, mais de conserver les informations spécifiques au système dans chaque domaine du serveur. Oui, cela ajoute une certaine complexité à l'administration mais, globalement, c'est l'une des approches les plus flexibles.

En fin de compte, l'authentification centralisée est régie par cela :

"Where do you want your pain?"