Não é uma má ideia, mas você precisa planejar bem. Os mestres do FreeIPA replicam dados entre eles, portanto, é melhor manter as extensões de esquema LDAP com ferramentas de empacotamento para que elas existam em todos os sistemas. O mesmo se aplica aos plug-ins de estrutura.
Até o FreeIPA 4.4.1 houve um problema com as extensões de esquema fornecidas externamente - elas não foram incluídas na fase de instalação, portanto, você não podia ter suas extensões instaladas desde o início, devido à falta de classe / atributos de objeto na atualização do ponto código executa a geração de seus ACIs específicos do plugin, você só pode adicioná-los mais tarde. Veja o tópico no link para obter mais detalhes.
No FreeIPA 4.4.1 eu consertei esse problema (resultado da discussão acima) e agora você pode ter extensões totalmente separadas - veja o exemplo no meu plugin de integração FleetCommander em link . Atualmente estou trabalhando em um guia de extensibilidade para o FreeIPA 4.4.1 ou posterior, para substituir meu guia antigo ( link ), que tornou-se mais ou menos desatualizado e não cobre problemas de manutenção / distribuição, bem como o design de controles de acesso.
Desde que você mantenha suas adições em uma configuração autônoma para o FreeIPA 4.4.1 ou posterior, você deve estar bem.