いまさら LDAP 勉強中
ユーザアカウントを OpenLDAP で管理しているのですが、これをまず導入したときは、オブジェクトクラス PosixAccount をもつユーザエントリ(Unixでいう passwd ファイルですね)とオブジェクトクラス PosixGroup をもつグループエントリ(Unixでいう group ファイルですね)を作っていたのです。
それで最近になって OpenLDAP のアクセス制御にグループごとのアクセス制御を入れたくなったのですが、そのときのグループエントリはオブジェクトクラス GroupOfNames を持つものがいいらしい。なぜなら、PosixGroup だと、メンバについて uid しか指定していないのでどの dn がはっきりしないから。
いまさらこんなことわかっても困るわぁ。