Acho que a reivindicação do LDAP está incorreta. Não conheço nenhum protocolo específico para autorização, funciona assim:
A autorização do usuário do Active Directory protege recursos contra acesso não autorizado. Após o processo de autenticação do usuário, o tipo de acesso realmente concedido é determinado por quais direitos de usuário são atribuídos ao usuário e quais permissões estão anexadas aos objetos que o usuário deseja acessar. Cada objeto possui listas de controle de acesso associadas a ele.
DACL - A Lista de Controle de Acesso Discricionária (DACL) especifica uma lista de contas de usuário, grupos que têm permissão ou acesso negado a um objeto específico.
SACL - A Lista de Controle de Acesso do Sistema (SACL) define operações como leitura, gravação ou exclusão que devem ser auditadas para um usuário ou grupo.
Cada lista é composta de entradas de controle de acesso que listam as permissões permitidas ou negadas para um usuário ou grupo. Cada vez que um usuário faz logon, um token de acesso é criado para o usuário. O token de acesso consiste em direitos individuais de SID, grupo SID e usuário.
Quando um usuário solicita um acesso a um objeto específico, o SID individual e o SID do grupo no token de acesso são comparados com as entradas de DACL para ver se o usuário recebe o acesso explicitamente negado. Em seguida, verifica se o acesso solicitado pode ser especificamente permitido. Essas etapas são repetidas até que nenhum acesso seja encontrado ou que informações suficientes sejam coletadas para conceder acesso ao recurso.