OpenLDAP ACL,以防止匿名用户获取所有组的列表

dc=example,dc=com
  ou=People
    uid=user1
    uid=user2
  ou=Groups
    cn=user1
      memberUid:user1
    cn=user2
      memberUid:user2
    cn=common
      memberUid:user1
      memberUid:user2

现在,如果匿名者知道LDAP中存在条目uid = user1,则他们应该能够检索该用户所属的组列表.但是他们不应该发现其他群体.

因此ldapsearch -b“ou = Groups,dc = example,dc = com”应该不返回任何内容,而ldapsearch -b“ou = Groups,dc = com”“(&(objectClass = posixGroup)(memberUid = user1))“应返回user1所属的所有组.

到目前为止,我尝试了几种不同的ACL,但没有运气.它既可以搜索也可以列出所有组,或者不能列出所有组,但搜索不起作用.

有没有办法使用ACL实现所需的行为？

PS：数据库使用标准的nis模式,因为数据库已经将数据更改为rfc2307bis不是一个选项(并且还有其他原因导致在这种情况下无法进行此类更改).