我正在开发一个项目,以便为统一用户登录提供互联网服务,这将使用LDAP实现。只有一些我信任的网站管理员才能访问它。
我已经开始使用这个概念:
- BaseDN内部是特权网站的帐户,例如example1.com,example2.com
- 帐户将创建为organizationalRole objectClass,以便其他用户帐户可以存储在
中
- 如果网站所有者的密码遭到入侵或Captcha功能无效,则可以替换特权帐户的密码,以便无法添加新帐户或更改当前帐户。
- 创建ACL(=访问控制列表)以仅允许他们写入自己的目录
不幸的是,我也注意到这不是最好的方法。
- 我不知道是否可以“搜索”所有目录中的某个用户名,以便
cn=example1.com
可以访问cn=example2.com
中的用户。
- 当有人访问网站密码时,据我所知,所有用户都可以删除。
保护这些帐户的最佳方法是什么?你是怎么想我的概念的?我怎样才能改善这个?