Use a sobreposição de integridade referencial. Ele cuidará não apenas desta situação, mas também do caso em que o DN de um usuário é renomeado.
No OpenLDAP, um usuário é membro de um grupo. Suponha que um exclua o usuário. No atributo de membro do grupo, o usuário permanece. Isso é considerado uma violação de integridade? Existe um meio de "autoremove" a associação ao grupo?
Estou usando o OpenLDAP 2.4 com cn = config.