我们在做SSO中，用户要求采用LDAP作为单点认证的中心用户库，但我们系统有特殊的权限控制（如记录级权限控制），

不能全部依赖于LDAP中定义的用户和组的定义。

解决思路：

1、定期（1天左右）将LDAP中的用户和组数据同步到自己的应用中，同步过来的数据打上标记，不能修改。

2、在应用中，定义组相关的权限。

这样时候可以解决部分问题。

但存在的问题：

一旦LDAP中的数据作了修改，应用中的数据如何做同步呢？算法如何？有可能LDAP中的数据是做了改名，那这边原来的用户和组实际上的操作是删除和增加。那么原来定义的权限关系就丢失了。

不知道有什么好的解决方案？