ユーザアカウントを OpenLDAP で管理しているのですが、これをまず導入したときは、オブジェクトクラス PosixAccount をもつユーザエントリ（Unixでいう passwd ファイルですね）とオブジェクトクラス PosixGroup をもつグループエントリ（Unixでいう group ファイルですね）を作っていたのです。

　それで最近になって OpenLDAP のアクセス制御にグループごとのアクセス制御を入れたくなったのですが、そのときのグループエントリはオブジェクトクラス GroupOfNames を持つものがいいらしい。なぜなら、PosixGroup だと、メンバについて uid しか指定していないのでどの dn がはっきりしないから。

　いまさらこんなことわかっても困るわぁ。