Авторизация LDAP

Я начинаю внедрять механизм авторизации и аутентификации с использованием LDAP для некоторой существующей системы. На этапе разработки я сталкиваюсь с трудным дизайнерским решением: где должны храниться роли пользователей?

Если бы я использовал СУБД, похоже, что будет три таблицы: user , роль и user_role для сопоставления ролей и пользователей.

Предложите доступные решения. Я думаю о хранении ролей пользователей в БД и пользователей в LDAP, но не уверен, что это лучшее решение. Я использую JBoss в качестве сервера приложений.