LDAP用户的DN更改时,从属应用程序的预期行为是什么?

时间:2019-11-01 18:09:18

标签: ldap

当其中一个注册用户的DN更改时,通过LDAP进行身份验证的应用程序是否存在任何预期/标准化的行为? (或更笼统地说,当他们的有效本金发生变化时,这似乎通常是他们的DN。从这里开始,我会说“ principal”,尽管我通常认为“ DN”。)

以下是Gitlab中遇到此问题的一个示例:https://gitlab.com/gitlab-org/gitlab-foss/issues/993

在这种情况下(基于该问题中链接的commit),他们似乎通过使用多个属性而不是单个属性来标识用户来解决此问题,因此,一次更改不会阻止他们进行映射回到同一个LDAP用户。

在我看来,可用的选项是:

  1. 不要尝试阻止此问题,而是提供一些方法来更改存储的主体(应用程序内或通过数据库修改)
  2. 尝试(通过自动或由用户手动)选择更好的静态用户属性作为主体来防止该问题
  3. 尝试通过交叉引用多个属性来缓解此问题,如上面的链接

如果有的话,其中哪些是预期/“最佳”方法?

0 个答案:

没有答案
相关问题
最新问题