O Apple Open Directory não usa o atributo de usuário memberOf (OSX Server 10.7.5).
Em vez disso, ele depende exclusivamente do atributo de grupo memberUid para enumerar os usuários que são membros de um determinado grupo. Portanto, não é possível determinar as associações de um grupo de usuários consultando o objeto de usuário, mas, em vez disso, deve-se enumerar todos os grupos para os atributos memberUid correspondentes a esse usuário, se desejar uma lista completa de associações de grupo específicas de usuário.
É claro que é possível modificar o esquema para adicionar o atributo memberOf, mas também deve fazer o trabalho necessário para manter os valores do atributo memberUsid do grupo e os valores de atributo memberof do usuário em sincronia.
Isso contrasta com as implementações do ldap que suportam o atributo de usuário memberOf e que contém mecanismos para manter os valores do par de atributos em sincronia (Microsoft Active Directory, OpenLDAP com a sobreposição memberOf).
O [Guia de administração do Google Apps Directory Sync] [1], página 28, afirma que:
There are three ways to mark your Google Apps users in LDAP:
• OU: Set up an organizational unit (OU) and move Google Apps users into that unit.
• Group: Create a new group in LDAP, and add Google Apps users as a member of that group.
• Custom Attribute: Create a custom attribute for your users, and set that attribute for new users.
Meu palpite é que você poderia resolver a tarefa por qualquer um, mas consultar os usuários para memberOf só funciona se você mesmo adicionar o atributo memberOf aos seus objetos de usuário. É para ser considerado como um atributo personalizado com o Open Directory.
O fato de alguns atributos estarem vazios em um objeto ldap não é um grande motivo de preocupação, apenas significa que eles estão incluídos no esquema ldap, mas seus valores não foram definidos para o objeto ldap. Você veria um estado de coisas semelhante em qualquer implementação do ldap pronto para uso.
[1] link