複数のマシンで LDAP を使用した認証システムを作成したいと考えています。
基本的な構造を作成しましたが、それが最善の解決策であるかどうかはわかりません。
ベース:
私はマシン M1、M2、M3、M5 (データベース D1、D2、D3 を持っています) を持っています
ユーザーのリスト U1、U2、U3、U4、U5、U6、U7、U8、U9、U10
ユーザーのタイプ -リーダー(マシン固有)、ライター(マシン固有)、マネージャー
要件:
すべてのマシンは、リーダーとライターのユーザー セットを
持つ
ことができます。
使用されたアプローチ:
すべてのユーザーのリストとパスワード情報を含むノードを作成し、許可されたデータベースも
作成した 役割占有者のリストを含む管理者役割を
作成した 各マシンに 2 つの役割 (リーダー、ライター) を作成し、それぞれの役割占有者が
アクセス制御を定義した
ここで、ユーザーが U1 がマシン M4 のデータベース D2 を読み取ろうとすると...最初にユーザーのリストに含まれている必要があり、次に彼はロールオキュペントまたは M4 マシンのリーダー/ライターロールである必要があります...
私の問題はここで発生します
1.彼がデータベース D2 の読み取りを許可されているかどうかを確認するには、ユーザーノードを検索してデータベース情報を取得し、許可されている D2 が含まれているかどうかを確認する必要があります。
もう1つの問題は、
2.ユーザーを削除したい場合、ユーザーノードから簡単に削除できますが、roleoccupentエントリは簡単には削除されません。(各サーバーのリーダーとライターの役割を検索して、彼が役割占有者であるかどうかを確認する必要があります)
DITを設計するより良い方法はありますか?LDAP 情報を管理する手順が削減されますか??
...データベースへのアクセスを確認するより良い方法はありますか??