4.3. 分组目录条目

组是用户的集合。目录服务器有几个组类型，它们反映了允许的成员资格类型，如证书组、URL 组和唯一组，它们只有唯一的成员。您可以通过对象类（如 groupOfUniqueNames ）和对应的成员属性（如 uniqueMember ）来定义每种类型的组。

组的类型标识成员的类型。组配置取决于目录服务器如何将成员添加到组中。目录服务器有两个组类型：

组不对条目执行任何操作，但 LDAP 客户端可以管理组来执行操作。

4.3.1.2. 向组中添加自动新条目

您可以根据组成员资格应用密码策略、访问控制列表和其他规则。使用组，您可以在目录中一致且可靠地应用策略。

创建新条目时，自动将新条目分配给组，确保目录服务器在没有管理员操作的情况下立即将适当的策略和功能应用到这些条目。

使用 Automembership 插件时，静态组可以充当动态组。Automembership 插件使用基于条目属性、目录位置和正则表达式的一组规则，将用户自动分配给指定的组。

根据其他属性的值，可能存在与 LDAP 搜索过滤器匹配的实例条目。例如，您需要根据 IP 地址或物理位置将机器添加到不同的组中。或者您需要根据用户的员工 ID 号将用户放置到不同的组中。

automember 定义是一组嵌套条目，以及 Auto Membership 插件容器，然后自动成员定义，然后是该定义的任何正则表达式条件。

注意

仅当新条目添加到目录服务器时，目录服务器才会自动将条目分配给组。对于您修改的现有条目或条目以满足自动成员规则，请运行 fix-up 任务来分配正确的组成员资格。

角色同时充当静态和动态组。对于组，Directory 服务器会将条目添加到组条目中作为成员。使用角色时，Directory 服务器会向条目添加 role 属性，然后使用该属性自动识别角色条目中的成员。

使用角色，您可以使用以下方法组织用户：

受管角色可以执行您可以使用静态组完成的所有操作。您可以使用过滤的角色过滤角色成员，类似于使用动态组的过滤。角色比组更容易使用，因为它们在实施过程中具有更大的灵活性，并降低客户端复杂性。

您可以使用角色类型显式或动态指定成员。目录服务器支持以下类型的角色：

您可以激活或停用只有一个操作中的整个条目组。您可以通过取消激活角色所属的角色来临时禁用角色的成员。

当您激活某个角色时，用户仍可以使用角色条目绑定到服务器。但是，用户无法使用属于此角色的任何条目绑定到服务器。属于 inactivated 角色的条目会将 nsAccountLock 属性设置为 true。

当您激活嵌套角色时，如果用户是嵌套角色内任何角色的成员，则无法绑定到服务器。属于嵌套角色的直接或间接成员的所有条目会将 nsAccountLock 设置为 true。在嵌套的任意点上激活嵌套角色，取消激活其下的所有角色和用户。

角色和组可以实现相同的目标。受管角色可以执行静态组可以执行的操作，而过滤的角色则可过滤和识别成员，方式与动态组相同。角色和组都有优点和缺点。决定是否使用角色或组，还是混合取决于您的要求和服务器资源。

角色降低了客户端复杂性。使用角色时，客户端应用程序可以通过搜索条目中的 nsRole 操作属性来检查角色成员资格。此多值属性标识条目所属的每个角色。从客户端应用程序视图中，检查成员资格的方法统一并在服务器端执行。

但是，角色需要增加服务器复杂性。与评估组相比，评估角色对目录服务器的资源密集型，因为服务器能够为客户端应用工作。

组需要更智能且更复杂的客户端来有效地使用它们。例如，从应用程序角度而言，动态组不提供服务器中的支持，以提供组成员列表。相反，应用会检索组定义，然后运行过滤器。只有在配置适当的插件时，用户条目才会包含组成员资格信息。