O motivo técnico é que tanto o groupOfNames
quanto o person
objectClass são mutuamente exclusivos. Ambos são classes estruturais, mas sem um relacionamento subordinado, tornando-os diferentes cadeias objectClass e de acordo com a RFC 4512 :
An object or alias entry is characterised by precisely one structural object class superclass chain which has a single structural object class as the most subordinate object class.
Um grupo tem membros, mas uma pessoa não é um grupo e não pode ter membros como um grupo.
Até onde eu sei, você normalmente transforma uma pessoa em membro de um grupo e o servidor LDAP fornece uma função interna para manter o mapeamento de pesquisa reversa para recuperar facilmente os grupos aos quais um objeto pertence, um atributo virtual se você preferir, o atributo memberOf
. O ApacheDS pode não suportar isso ( ainda ).
Em outras palavras, os grupos aos quais um objeto LDAP pertence não são uma propriedade do objeto em si e você provavelmente nem desejaria tentar mantê-lo manualmente.