Группа слов LDAP (не имена)

Мы используем LDAP для аутентификации и организации элементов, и у нас есть следующая структура (минус несколько верхних уровней, конечно):

  • клиенты
    • Client1
      • client1Users (группа пользователей, член clientUser1)
    • Client2
      • client2Users (группа пользователей, член clientUser2)
  • пользователей
    • user1
    • user2
    • clientUser1
    • clientUser2
  • Сайты управления проектами (для аутентификации по членству в группе)
    • client1Project (членами являются клиент1Users и user1)
    • client2Project (членами являются client2Users и user2)
  • SVN-репозиции (для аутентификации по членству в группе)
    • client1Repo: /: rw (член user1, у которого есть доступ на чтение и запись для всего репо)
    • client1Repo: / trunk / specificFolder: r (член является клиентом1Users, который имеет доступ только для чтения / trunk / specificFolder)
    • client2Repo: /: rw (членами являются user2 и client2Users)

То, что я ищу, – это способ, которым мы можем поместить textовые имена репозиториев и websiteов PM в object под каждым клиентом, а не с полными DN, используя objectы groupOfNames. Мы хотим предотвратить возможность циклических ссылок, а создание группы objectов «resources» под каждым клиентом занимает много времени с количеством пользователей, которые у нас есть. Я ищу что-то, что я могу использовать, либо просто поле, которое я могу использовать для пробела – ограничивать значения или object, на котором я могу просто иметь несколько экземпляров properties (например, «member» для groupOfNames).

Я надеялся не создавать новый object, но я тоже не против этого.

Давайте будем гением компьютера.