LDAP 用户存储管理 › 如何配置组 › 配置动态和嵌套组

配置动态和嵌套组

如果要管理 LDAP 用户存储，可以在目录配置文件中对以下类型的组配置支持：

动态组

使您能够通过在用户控制台中动态地指定 LDAP 筛选查询定义组成员身份。 有了动态组，管理员无需单独搜索和添加组成员。

嵌套组

使您能够将组添加为其他组的成员。

您可以使用目录配置文件启用动态和嵌套组。

遵循这些步骤:

1. 根据需要将以下常用属性映射到组管理对象的物理属性：
   • %DYNAMIC_GROUP_MEMBERSHIP%
   • %NESTED_GROUP_MEMBERSHIP%

   注意：您选择的物理属性必须支持多个值。

2. 在“目录组行为”部分中，添加下列 GroupTypes 元素：

   <GroupTypes type=group>
   

   注意：GroupTypes 区分大小写。

3. 为下列参数输入值：

   group

   启用对动态和嵌套组的支持。 有效值如下所示：

   • NONE－CA Identity Manager 不支持动态和嵌套组。
   • ALL－CA Identity Manager 支持动态和嵌套组。
   • DYNAMIC－CA Identity Manager 仅支持动态组。
   • NESTED－CA Identity Manager 仅支持嵌套组。

一旦在 CA Identity Manager 目录中配置了对动态和嵌套组的支持，CA Identity Manager 管理员就可以在用户控制台中指定哪些组是动态组和嵌套组。

注意：如果在没有设置 %NESTED_GROUP_MEMBERSHIP% 常用参数的情况下，将组类型设为 NESTED 或 ALL。 在这样的情况中，CA Identity Manager 将嵌套组和用户都存储在 %GROUP_MEMBERSHIP% 常用参数中。 处理组成员资格可能更慢一点。