Представление агентов RBAC в LDAP

При реализации модели RBAC с помощью хранилища LDAP (я использую Каталог 1.0.2 Apache в качестве испытательного стенда), некоторые агенты являются очевидно отображаемыми к определенному objectClasses:

• Ресурсы - я не вижу, что ясное отображается для этого. applictionEntity кажется только мимоходом предназначенным с этой целью
• Полномочия - Разрешение может быть просмотрено как специализированная Роль; очевидно, я не думаю о разрешении LDAP, поскольку они управляют доступом к объектам LDAP и атрибутам, а не разрешению RBAC к Ресурсу
• Роли - отображаются справедливо непосредственно на groupOfNames или groupOfUniqueNames, правильно?
• Пользователи - человек

В прошлом я видел модели, где с Ресурсом не имеют дело в каталоге никаким способом, и Полномочия и Роли были отображены на Active Directory Groups.

Существует ли лучший способ представить этих агентов? Как насчет документа, обсуждая хорошие отображения и намерения схемы?