ruby-on-rails - 在 Rails 应用程序中使用 Active Directory/LDAP 组获取权限\角色的示例

Question

我想知道其他人是如何实现这个场景的。我有一个内部 Rails 应用程序(库存管理、标签打印、运输等)。我正在重写系统的安全性，导致旧方法变得难以维护(用户表、密码、角色)——我使用了 restful_authentication 和角色。它是大约 3 年前实现的。我已经使用 ruby​​-ldap-net 实现了 AuthLogic 来对用户进行身份验证(与我之前与其他框架/语言的挣扎相比，实际上这非常容易)。下一步是角色。我已经在 Active Directory 中定义了组——所以我不想在我的 Rails 应用程序中运行一个单独的角色系统，我只想重用 Active Directory 组——因为系统的那一部分已经被维护用于其他目的(共享驱动器、备份、PC 访问等)

所以我想知道其他人是否有过基于 Active Directory 或 LDAP 中的组在 Rails 应用程序中实现权限/角色的经验。此外，角色要求非常复杂。。

这是一个例子:

例如，我有用户属于 AD 中的主管组和库存部门，所以我是该用户能够在库存中运行“高级”任务 - 调整数量，运行报告，但是其他“主管”来自其他部门不应该这样做，高层管理人员也应该能够使用这些报告(无论天气如何，它们是否属于库存)，但中层管理人员不能，除非他们在库存组中。系统管理员(域管理员)应该可以不受限制地访问系统，除了人力资源和财务部分，除非他们在人力资源部门(就像你不希望所有系统管理员(除了一个授权的管理员)看到其他人的个人信息员工)。

我看了 acl9、cancan、aegis。我想知道对于基于 AD 的系统访问的这种特殊用途，使用其中一种与另一种相比是否有任何优势/劣势。如果您有好的经验，建议其他系统。

谢谢!!!

Answer 1

ActiveLDAP(Documentation，Github)具有您正在寻找的一些功能，特别是:

• 您可以将 LDAP 对象(对象类实例)映射到 Rails 应用程序中的对象。 API 并不完全反射(reflect) ActiveRecord，但它非常容易理解和学习。
• 显然不可能跨 LDAP 和关系数据库进行联接等操作，但您可以编写一些稍微聪明的代码，使复合数据可以从 ActiveLDAP 对象或 ActiveRecord 对象轻松访问。
• ActiveLDAP 还提供了写入 LDAP 的方法，允许您从 rails 管理 LDAP 中的用户和角色，消除了在数据库中管理用户表的要求，但是，用户数据库表可能仍然需要存储有关用户的应用特定数据。
• 此外，您可以将 AuthLogic 与 ActiveLDAP 集成。这是我发现的一种尝试:LDAP Pass-through Authentication with Authlogic and ActiveLdap
• 然后您可以使用声明式授权 (Pundit) 来处理您的角色和授权。