12.4. ACI 的限制

当您设置访问控制指令(ACI)时，会有以下限制：

如果目录数据库分布到多个服务器，则以下限制适用于 ACI 中可以使用的关键字：
- ACI 取决于使用 groupdn 关键字的组条目，必须与组条目位于同一服务器上。
  如果组是动态的，则组的所有成员都必须在服务器上有一个条目。静态组的成员条目可以位于远程服务器中。
- ACI 取决于使用 roledn 关键字的角色定义，它必须位于与角色定义条目相同的服务器上。要拥有该角色的每个条目也必须位于同一服务器上。
但是，您可以将存储在目标条目中的值与存储在绑定用户条目中的值匹配，例如使用 userattr 关键字。在这种情况下，即使绑定用户在存储 ACI 的服务器中没有条目，也会评估访问。
在以下 ACI 关键字中无法使用虚拟属性，如服务(CoS)属性：
- targetfilter
- targattrfilters
- userattr
访问控制规则仅在本地服务器上评估。例如，如果您在 ACI 关键字中指定 LDAP URL 中的服务器主机名，则 URL 将会被忽略。

Select Your Language