Vários valores de passwordStorageScheme no mesmo usuário em 389ds / FreeIPA

Eu implantei uma solução de identidade FreeIPA que é armazenada dentro de um servidor de diretório 389.

Devido à necessidade de sincronizar periodicamente as senhas de usuários com outra plataforma (Google Apps for Work), preciso que os esquemas de armazenamento de conta de usuário sejam SHA1 em vez de SSHA (SHA salgados).

Eu poderia mudar facilmente o passwordStorageScheme para o SHA, mas não sei se o IPA depende da senha ser SSHA e se eu quebrar algo, então:

• Posso "felizmente" mudar de SSHA para SHA passwordStorageScheme sem quebrar nada?
• Em vez disso, posso configurar o 389 para salvar um hash adicional em um atributo personalizado (digamos, 'userPasswordSHA'), cada vez que uma senha é alterada, para que eu possa descartar facilmente os dois?