Складені LDAP запити

[Pablo]

Доброго полудня!
Маю в OpenLDAP список заведених користувачів, їх клас posixAccount. Також є дві групи Mail i Web. В цих групах як memberUID є по кілька користувачів з загального списку. Є задача: дозволити користуватись поштою першим та веб-інтернетом другим, прикрутивши LDAP до постфікса і сквіда. Яким чином побудувати запит до сервера так, щоб повертався обєкт класу posixAccount тільки тоді, якщо користувач належить групі (він є memberUID у Mail чи Web)?

ПС. Проект на етапі планування, тому структура LDAP може бути змінна.

[Pablo]

Майте совість, невже нема advanced LDAP user'ів?
Тоді інакше сформую задачу: потрібно централізовано, через юзер френдлі інтерфейс (GUI клієнти LDAP для цього дуже годятся) керувати поштою, інтернетом, FTP, в перспективі, можливо, іншими службами, служби розкидані по різних машинах, не виключено, що під різними ОС (в.т.ч. вороже середовище). Паролі і логіни до всіх служб повинні бути одинаковими. Рішення повинно бути extensible без кардинального перепилювання системи. В перспективі впровадження АD, тому логіни і паролі повинні реплікуватись туди прозоро для юзерів.
Перше, що спадає на думку, (My|Postgre)SQL. Але тут виникають труднощі з поділом на групи (ну це ще пів біди) і взаємодією з АД.
У кого є ще ідеї, панове?