El borrador de Internet rfc2307bis especifica que la clase de objeto groupOfMembers también se puede utilizar como la clase estructural práctica para las entradas LDAP del servicio de grupo. Las entradas de grupo pueden tener valores de atributo de pertenencia que especifican la asociación de grupos en nombres distintivos (DN). Los clientes LDAP de Oracle Solaris admiten esas entradas de grupo y utilizan los valores de atributo de miembros para la resolución de pertenencia a grupos.
Los clientes LDAP también admiten las entradas de grupo que utilizan la clase de objeto groupOfUniqueNames y el atributo uniqueMember. Sin embargo, el uso de esta clase de objeto y este atributo no se recomienda.
Se sigue admitiendo la manera existente de definir las entradas de grupo con la clase de objeto posixGroup y el atributo memberUid. Este tipo de entradas de grupo aún son las que el comando ldapaddent crea al rellenar los servidores LDAP para los servicios de grupo. No agrega el atributo member a las entradas de grupo.
Para agregar entradas de grupo con la clase de objeto groupOfMembers y los valores de atributo member, utilice la herramienta ldapadd y un archivo de entrada similar al siguiente:
dn: cn=group1,ou=group,dc=mkg,dc=example,dc=com objectClass: posixGroup objectClass: groupOfNames objectClass: top cn: group1 gidNumber: 1234 member: uid=user1,ou=people,dc=mkg,dc=example,dc=com member: uid=user2,ou=people,dc=mkg,dc=example,dc=com member: cn=group2,ou=group,dc=mkg,dc=example,dc=com
Los clientes LDAP manejarán las entradas de grupo con una combinación de ningún atributo, cualquier atributo o todos los atributos memberUid, member y uniqueMember. El resultado de la evaluación de pertenencia será que un grupo tiene como pertenencia la unión de los tres con duplicados eliminados. Es decir, si la entrada de un grupo G tiene un valor memberUid que hace referencia al usuario U1 y U2, un valor member que hace referencia al usuario U2 y un valor uniqueMember que hace referencia al usuario U3, el grupo G tiene tres miembros, U1, U2 y U3. Los grupos anidados también son compatibles, es decir, un atributo de miembro puede tener los valores que apuntan a otros grupos.
Para evaluar de manera eficaz la pertenencia a grupos y determinar los grupos (incluidos los anidados) a los que pertenece un usuario, el complemento memberOf debe estar configurado y activado en los servidores LDAP. Si no es así, sólo los grupos contenedores, y no los anidados, se resolverán. De manera predeterminada, el complemento memberOf es activado por el servidor ODSEE. Si el complemento no está activado, utilice la herramienta dsconf de ODSEE para activarlo.