Поможите плз архитектурно вот с такой задачей:
Есть реестр пользователей (и, возможно, их привилегий), хранящийся в ЛДАП'e.
Существует также несколько приложений, реализованных как в 3-уровневой (на ВебСфере), так и в 2-уровневой архитектуре (Дельфи и Бейсик). И в тех и в других приложениях требуется аутентификация через этот самый ЛДАП.
Задача: реализовать некий модуль аутентификации (а мб и авторизации), к к-рому могли бы обращаться и 2-уровневые, и 3-уровневые приложения.
Пока рассматриваю 2 варианта:
1. Хранимая процедура в БД, к-рая уже затем лезет в ЛДАП. ИМХО явный минус закл. в том что для ее вызова из толстого клиента приходется где-то на клиенте хранить пароль того технологического пользователя БД, к-рым вызывается процедура.
2. Веб-сервис на сервере приложений. И тут есть явный минус -- передавать логин/пароль в через SOAP безопасность вряд ли разрешит (или есть какие-то стандартные средства защиты при вызове Веб-сервисов?).

Мб кто-то что-то более дельное подскажет по этому поводу?
Заранее спасибо.

CR@ZY J@XПо поводу второго варианта: подключение к БД можно сделать имперсонофицированным (у вебсервиса в web.config прописать <processmodel userName="xxx" password="yyy" />)
И дать этой учетке права на базу на уровне сервера БД. Вебсервер будет производить первоначальную аутентификацию пользователя (на доступ к ресурсу), а потом коннектится к БД от указанной учетки.
Минус: явное указание пароля в файле. Однако эта ситуация легко обходится путем криптографической защиты указанного раздела.

Возможно тут у нас с Вами некоторое недопонимание. Я, когда излагал 2-й вариант, предполагал что Веб-Сервис вообще не будет для аутентификации лезть ни в какую БД, а сразу полезет в LDAP через LDAPовские API. А минусом этого варианта я считаю то, что при вызове этого Веб-Сервиса клиент должен каким-то образом передать ему через SOAP свои логин и пароль (те, с к-рыми он пытается аутентифицироваться). Поэтому вопрос -- есть ли какие-то стандартные средства защиты при передаче данных через SOAP?

AlexTheRaven
А зачем нужен этот единый модуль? Насколько я помню, проверка полномочий пользователя через LDAP в каждом из перечисленных средств - несколько строчек с вызовами функций из стандартных библиотек.

Все правильно говорите. Единый модуль нужен для удовлетворения пожеланий безмозглого начальства, приказы которого не обсуждаются.

Mainframe_старыйЕсли LDAP- AD , то аутентифицкаию выполняет Windows.
Ваша задача только авторизация. Какая СУБД - если MS SQL, то тоже легко настраивается на AD. Если Oracle и его LDAP сервер, то тоже сами .. т.е. все с друг другом без вас договорятся в смысле аутентификации, если только вы не используете не LDAP.

Увы, LDAP = IBM Directory Server, RDBMS = Oracle

Mainframe_старый
По поводу авторизации - зависит от ситуации. Но у веб-сферы есть своя система управления правами - она вас не устраивает ? Моежет продублировать права, выданные в веб-сфере для систем на Delphi и Бейсике. Т.е. сделать упарвляющей веб-сферу, а для бейсика ерплицировать. Я не работаю с веб-сферой, но наверняка у нее есть возможность выгрузки прав пользователей по определенным ограничениям.

Система безопасности ВебСферы устраивает, а вот вариант насчет репликации (отчасти сейчас так и делаем) не нравится. Почему -- долго рассказывать.