5.2. 更改默认用户和组模式的注意事项
创建用户和组帐户时,会应用一组预定义的 LDAP 对象类。虽然 标准的特定于 IdM 的 LDAP 对象类 和属性 涵盖了大多数部署场景,但您可以为用户和组条目创建自定义对象类。
当您修改对象类时,IdM 提供了以下验证:
- 所有对象类及其指定属性都必须对 LDAP 服务器知道。
- 为条目配置的所有默认属性都必须被配置的对象类支持。
但是,IdM 模式验证存在限制。IdM 服务器不检查定义的用户或组对象类是否包含 IdM 条目的所有所需对象类。例如,所有 IdM 条目都需要 ipaobject
对象类。但是,如果更改了用户或组模式,服务器不会检查是否包含此对象类。如果对象类被意外删除,然后尝试添加新用户,则尝试会失败。
此外,所有对象类更改都是原子的,而不是递增。每次发生更改时,您必须定义默认对象类的整个列表。例如,您可以决定创建自定义对象类来存储员工信息,如生日和雇佣开始日期。在这种情况下,您无法简单地将自定义对象类添加到列表中。相反,您必须设置当前默认对象类的整个 列表以及 新的对象类。如果在更新配置时没有包括 现有的 默认对象类,则当前设置会被覆盖。这会导致严重的性能问题。
注意
修改默认对象类列表后,新的用户和组条目将包含自定义对象类,但旧条目不会被修改。