При реализации модели RBAC с помощью хранилища LDAP (я использую Каталог 1.0.2 Apache в качестве испытательного стенда), некоторые агенты являются очевидно отображаемыми к определенному objectClasses:
- Ресурсы - я не вижу, что ясное отображается для этого. applictionEntity кажется только мимоходом предназначенным с этой целью
- Полномочия - Разрешение может быть просмотрено как специализированная Роль; очевидно, я не думаю о разрешении LDAP, поскольку они управляют доступом к объектам LDAP и атрибутам, а не разрешению RBAC к Ресурсу
- Роли - отображаются справедливо непосредственно на groupOfNames или groupOfUniqueNames, правильно?
- Пользователи - человек
В прошлом я видел модели, где с Ресурсом не имеют дело в каталоге никаким способом, и Полномочия и Роли были отображены на Active Directory Groups.
Существует ли лучший способ представить этих агентов? Как насчет документа, обсуждая хорошие отображения и намерения схемы?
задан Tetsujin no Oni 28 May 2009 в 22:51
поделиться