Estoy trabajando en la implementación de seguridad basada en roles en LDAP y Java. Específicamente, tengo los siguientes objetos que necesito representar en LDAP:

UsuariosGrupos corporativos de usuarios: RRHH, Finanzas, etc. Permisos: DOCUMENT_READ, DOCUMENT_MODIFY, etc. Roles: ADMINISTRADOR, INVITADO, etc.

os roles son básicamente grupos de permisos, y se pueden asignar a un usuario o a un grupo de usuarios.

staba pensando en representarlos en LDAP como sigue:

Users: clases de persona y uidObject con el atributo userPassword.Grupos de usuarios: clase organizativaUnidad, en la que se encuentran los usuarios.Roles: clase de objeto groupOfNames. Permisos: no estoy seguro de esto, quizás también de la clase groupOfNames.

La idea es tener un acceso rápido de un usuario o grupo a una lista de roles que tiene este usuario o grupo. Sé que puedo poner a los usuarios y grupos en los atributos de "miembro" de un rol, pero luego tendré que escanear todos los roles para encontrar cuáles tienen este usuario en la lista. ¿Hay alguna manera de tener algo como el atributo "miembro" en un objeto Persona?

Generalmente, ¿alguien sabe de una buena implementación de seguridad basada en roles en LDAP? No pude encontrar buena documentación o tutoriales sobre este tema. Actualmente estoy usando ApacheDS como servidor LDAP, pero estoy abierto a sugerencias.