Estou trabalhando na implementação de segurança baseada em funções no LDAP e Java. Especificamente, tenho os seguintes objetos que preciso representar no LDAP:

Comerciarupos corporativos de usuários - RH, Finanças etPermissões - DOCUMENT_READ, DOCUMENT_MODIFY etc.Roles - ADMIN, CONVIDADO etc.

s funções são basicamente grupos de permissões e podem ser atribuídas a um usuário ou a um grupo de usuário

Eu estava pensando em representá-los no LDAP como a seguir:

Users - Classes person e uidObject com o atributo userPassworGrupos de usuários - classe organizacionalUnit, na qual os usuários estão localizadoRoles - classe de objeto groupOfName Permissões - não tenho certeza sobre essa, talvez também a classe groupOfName

A idéia é ter um acesso rápido de um usuário ou grupo a uma lista de funções que esse usuário ou grupo possui. Sei que posso colocar usuários e grupos em atributos de "membro" de uma função, mas terei que verificar todas as funções para descobrir quais têm esse usuário listado. Existe uma maneira de ter algo como o atributo "member" em um objeto Person?

Geralmente, alguém conhece uma boa implementação de segurança baseada em funções no LDAP? Não encontrei boa documentação ou tutoriais sobre esse assunto. Atualmente, estou usando o ApacheDS como um servidor LDAP, mas estou aberto a sugestões.