Про LDAP

Товарищ рассматривал одну систему, которая умеет делать аутентификацию на LDAP. У него сложилось впечатление, что кроме прочего она должна уметь хранить свои роли в этом LDAP. Товарищ мотивирует тем, что он-де участвовал в разработке системы, которая это умела, и что в этом ничего сложного нет. А для меня тут нет ничего неожиданного – для меня это как раз понятно: что позволено в точечной разработке, то не позволено в коробочном продукте (Quod licet Jovi, nоn licet bovi).  Для меня лично дело вот в чём:

 

Условно рассмотрим пример, что у нас есть одна служба каталогов и пять разных независимых приложений от разных поставщиков, которые могут с ним связываться. Дополнительно мы всегда можем установить ещё несколько.

Если мы допускаем хранение ролей в каталоге – значит приложение должно получать доступ к данным каталога на запись, а не “только для чтения”. 

Отсюда следует, что:

 

Приходим к выводу:

Найти точку устойчивости в общем случае невозможно или сильно проблематично. Для частной заказной разработки – ещё применимо (хотя и спорно), но для коробочного продукта – идеологически и технологически вредно, даже в опциональном качестве.

Следовательно:

 

ЗЫ. В Windows 2008 Server есть занятная роль – AD LDS…

Опубликовано 12.09.2011 в 20:41 · Автор ivan · Ссылка
Рубрики: Софт

Написать комментарий