O atributo nsrole é um recurso especial do Sun ONE LDAP, que é usado para representar a função de um usuário.
Use a seguinte configuração para Sun ONE LDAP com o atributo nsrole usado em um relacionamento de grupo e usuário.
<config:ldapEntityTypes name="Group">
<config:objectClasses>ldapsubentry</config:objectClasses>
</config:ldapEntityTypes>
...
<config:groupConfiguration>
<config:membershipAttribute name="nsRole" scope="direct"/>
</config:groupConfiguration>
...
</config:attributeConfiguration>