Форум проекта Pro-LDAP.ru
Общие вопросы по LDAP => Схема данных, наборы Schema, объектные классы, атрибуты и другое => Тема начата: d06pbiu от 23 Декабрь 2014, 16:44:03
-
Все доброго времени суток!
Собственно, понадобился атрибут authorizationRole, а вот схему с таким атрибутом найти не могу((
Не уверен есть ли вообще какая-нибудь "стандартная" схема с таким атрубутом...
Может кто встречал?
-
Здравствуйте! В RFC такого атрибута нет, поэтому и стандартных схем нет. Я нашёл пару определений в Интернете: здесь (http://authzldap.othello.ch/authzldap.txt) и здесь (https://github.com/cschiewek/devise_ldap_authenticatable/blob/master/spec/ldap/local.schema). В обоих случаях ребята определяли атрибуты и объектные классы под свои конкретные задачи, причём с authorizationRole вообще не заморачивались -- наследовали его от name. В первом случае OID взят из пространства, зарезервированного за частным предприятием, во втором -- вообще из несуществующего пространства.
Вывод такой: знаете свою задачу -- определите собственный атрибут и используйте на здоровье.
Егор
-
Спасибо за помощь Егор!
Данный атрибут хочу использовать для разграничения прав доступа к вэб-интерфейсу, при аутентификации идет проверка содержимого этого атрибута - если там, допустим, root, то пользователь получает полные права, если user - то никаких... и т.д.
И вот это самый атрибут authorizationRole упоминался в руководстве к apachе...
-
Здравствуйте ещё раз!
Если связь apache с каталогом осуществляется через модуль mod_authnz_ldap, то для Вашей цели можно попробовать использовать директиву
Require ldap-attribute(см. документацию (http://httpd.apache.org/docs/2.4/mod/mod_authnz_ldap.html#reqattribute)). Там можно использовать любой доступный текстовый атрибут, например:
Require ldap-attribute ou=rootТак что нестандартный атрибут добавлять не обязательно.
Егор