Hallo Patrick, LDAP ist Dein Freund, denn damit kann man sowas sehr elegant implementieren. Zu den Rechten: Zu jeder Applikation und jedem Recht, was man da vergeben kann, wird in eine m LDAP Attribut die Gruppen festgelegt (notfalls kann man dazu z.B. OU missbrauchen). Je nach Anwendung und Recht ist der User in der betreffenden Gruppe oder eben nicht.
Hat eine Anwendung bestimmte Rechte, dann muss die nun in der Lage sein, das betreffende LDAP Attribut zu übernehmen. Bei Apache ist das z.B. der Fall, weil der seit 2.2.0 ein eigenes Authmodul für LDAP hat. Die Applikation weiss dann nichts von LDAP. Wenn Tomcat auch LDAP kann (würde mich wundern, wenn nicht), dann bist Du fein raus, denn dann muss Deine Anwendung nur noch die LDAP Attribute vom Tomcat übernehmen, da sollten dann auch alle Gruppen dabei sein. In einem konkreten Fall wurde sowas mal mit einem Windows 2003 Server als Auth-Backend implementiert, Die Linux Maschinen haben da die LDAP Funktionen von Active Directory benutzt. Grüße Christian Patrick Schulz schrieb: > Wer von Euch hat sich schon einmal mit Identity Management beschäftigt > und kann ein paar konkrete Tipps geben? >
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
