【发布时间】:2019-07-08 12:56:25
【问题描述】:
我正在使用 OpenLDAP 在其中存储用户数据。
有一个工人组(类型 groupOfNames),它由组 Admins(类型 groupOfNames)和 PowerUsers(类型 groupOfNames)组成。我可以将用户 Bob 分配给 Admins 和 PowerUsers。
如果 Bob 已经在组 Admins 中,有什么方法可以限制将 Bob 添加到 PowerUsers(反之亦然)?
【问题讨论】:
我正在使用 OpenLDAP 在其中存储用户数据。
有一个工人组(类型 groupOfNames),它由组 Admins(类型 groupOfNames)和 PowerUsers(类型 groupOfNames)组成。我可以将用户 Bob 分配给 Admins 和 PowerUsers。
如果 Bob 已经在组 Admins 中,有什么方法可以限制将 Bob 添加到 PowerUsers(反之亦然)?
【问题讨论】:
在 OpenLDAP 中(不包括开发自定义代码以改变 OpenLDAP 的工作方式)您不能添加此类控件。
这种类型的工作流显然属于“管理身份”的范围,因此应该由您的 IDM 解决方案来处理。
OpenLDAP 只是存储您在 IDM 解决方案中表示的内容的解决方案。
在“IAM”堆栈中,您有 [ IDM ] --> [ DS ] --> [ AM ] 代表:
【讨论】: