Descobri que pelo menos no meu caso de uso eu tive que remover roleUsernameMemberAttribute
Também é importante ter supplementalRoles
definido
O exemplo final de trabalho (não otimizado)
ldap {
com.dtolabs.rundeck.jetty.jaas.JettyCachingLdapLoginModule required
debug="true"
contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
providerUrl="ldap://DC01.example.com:389"
bindDn="cn=rundeck,OU=MyOU,DC=example,DC=com"
bindPassword="correct-horse-battery-staple"
authenticationMethod="simple"
forceBindingLogin="true"
userBaseDn="DC=example,DC=com"
userRdnAttribute="sAMAccountName"
userIdAttribute="sAMAccountName"
userPasswordAttribute="unicodePwd"
userObjectClass="user"
roleBaseDn="DC=example,DC=com"
roleNameAttribute="sAMAccountName"
roleMemberAttribute="member"
roleObjectClass="group"
cacheDurationMillis="300000"
supplementalRoles="user"
reportStatistics="true"
timeoutRead="10000"
timeoutConnect="20000"
nestedGroups="true";
};
Nota: Isso só faz a autenticação do ldap. Você também pode ter um híbrido de contas locais e contas ldap.
Atualizar
Documentação adicional & informações em esta questão do github