5.2. デフォルトのユーザーおよびグループスキーマを変更する際の考慮事項
ユーザーおよびグループアカウントは、アカウントに適用される定義済みの LDAP オブジェクトクラスを使用して作成されます。標準の IdM 固有の LDAP オブジェクトクラス と 属性 で、ほとんどのデプロイメントシナリオに対応できます。ただし、ユーザーおよびグループエントリーのカスタム属性を使用して、カスタムのオブジェクトクラスを作成することもできます。
オブジェクトクラスを変更すると、IdM によって以下が検証されます。
- すべてのオブジェクトクラスとそれらの指定された属性を LDAP サーバーが認識していること。
- エントリーに設定されたデフォルトの属性はすべて、設定済みのオブジェクトクラスにサポートされていること。
ただし、IdM のスキーマ検証には制限があります。IdM サーバーは、定義済みのユーザーまたはグループオブジェクトクラスに、IdM エントリーに必要なすべてのオブジェクトクラスが含まれているかどうかをチェックしません。たとえば、ipaobject
オブジェクトクラスは、すべての IdM エントリーに必要です。しかし、ユーザーまたはグループのスキーマが変更された場合、サーバーはこのオブジェクトクラスが含まれているかどうかをチェックしません。オブジェクトクラスが誤って削除された場合、新しいユーザーを追加しようとしても、失敗します。
また、すべてのオブジェクトクラス変更は、漸増的ではなくアトミックです。変更のたびに、デフォルトのオブジェクトクラスのリスト全体を定義する必要があります。たとえば、誕生日や就業開始日などの従業員情報を保存するカスタムオブジェクトクラスを作成するとします。この場合、カスタムオブジェクトクラスをリストに単純に追加することはできません。代わりに、現在のデフォルトオブジェクトクラスの全リストに 加えて、新しいオブジェクトクラスを設定する必要があります。設定を更新するときに 既存 のデフォルトのオブジェクトクラスを含めないと、現在の設定が上書きされます。その場合、重大なパフォーマンスの問題が発生します。
デフォルトのオブジェクトクラスのリストを変更すると、新しいユーザーおよびグループのエントリーにはカスタムのオブジェクトクラスが追加されますが、古いエントリーは変更されません。