Домино группы имеющие сущность ролей в целевой системе замечательно живут в доп АК, который подключен через ДА с галкой Group authorization+Use exclusively for group authorization or credential authentication.

С Group authorization есть нехилая засада:
1.Такая АК должна быть одна (а вдруг Одминам понадобится для своих целей?)
2.Мемберсы групп из этой АК сами должны быть определены в этой-же АК. И это абзац!!

 

С Group authorization есть нехилая засада:
1.Такая АК должна быть одна (а вдруг Одминам понадобится для своих целей?)
2.Мемберсы групп из этой АК сами должны быть определены в этой-же АК. И это абзац!!

1 . да - есть такие ограничения. эт реально иногда напрягает.
2. уточнение - мемберсы могут находится и в основной АК сервера. но никак не в других подключенных через DA АК.

Вообще - я все чаще задумываюсь об ldap federation на базе openLDAP - бо бесплатно и вроде позволяет играться атрибутами...