RFC draft rfc2307bis indique qu'il est également pratique d'utiliser la classe d'objet groupOfMembers comme classe structurelle pour les entrées LDAP du service de groupe. Les entrées de groupe peuvent également posséder des valeurs d'attribut de membre spécifiant l'appartenance à un groupe dans des noms distinctifs (DN). Les clients LDAP Oracle Solaris prennent en charge ces entrées de groupe et utilisent les valeurs d'attribut de membre pour la résolution de l'appartenance à un groupe.
Les clients LDAP prennent également en charge les entrées de groupe qui utilisent la classe d'objet groupOfUniqueNames et l'attribut uniqueMember. Toutefois, l'utilisation de cette classe d'objet et de cet attribut n'est pas recommandée.
La manière existante de définir des entrées de groupe à l'aide de la classe d'objet posixGroup et de l'attribut memberUid est toujours prise en charge. Ce type d'entrées de groupe demeure ce que la commande ldapaddent crée lors du remplissage des serveurs LDAP pour les services de groupe. Elle n'ajoute pas l'attribut member aux entrées de groupe.
Pour ajouter des entrées de groupe avec la classe d'objet groupOfMembers et les valeurs d'attribut member, utilisez l'outil ldapadd et un fichier d'entrée semblable à celui qui suit :
dn: cn=group1,ou=group,dc=mkg,dc=example,dc=com objectClass: posixGroup objectClass: groupOfNames objectClass: top cn: group1 gidNumber: 1234 member: uid=user1,ou=people,dc=mkg,dc=example,dc=com member: uid=user2,ou=people,dc=mkg,dc=example,dc=com member: cn=group2,ou=group,dc=mkg,dc=example,dc=com
Les clients LDAP gèrent les entrées de groupe avec un mélange de l'un, de certains ou de l'ensemble des attributs memberUid, member et uniqueMember. Le résultat de l'évaluation de l'appartenance révèlera qu'un groupe appartient à l'union des trois auxquels des duplications ont été supprimées. Concrètement, si une entrée de groupe G possède une valeur memberUid se rapportant aux utilisateurs U1 et U2, une valeur member se rapportant à l'utilisateur U2 ainsi qu'une valeur uniqueMember se rapportant à l'utilisateur U3, le groupe G possède trois membres (U1, U2 et U3). Les groupes imbriqués sont également pris en charge, c'est-à-dire qu'un attribut de membre peut avoir des valeurs pointant vers d'autres groupes.
Pour évaluer efficacement l'appartenance à un groupe pour déterminer les groupes (y compris les groupes imbriqués) auxquels appartient un membre, le plug-in memberOf doit être configuré et activé sur les serveurs LDAP. Sans cela, seuls les groupes contenant d'autres groupes (et non les groupes imbriqués) seront résolus. Par défaut, le plug-in memberOf est activé par le serveur ODSEE. Si le plug-in n'est pas activé, utilisez l'outil dsconf d'ODSEE pour l'activer.