# 1) SEULS les membres du groupe "cn=ldap.acl.rpro.read" peuvent lire  
# les valeurs étiquetées {RPRO} du supannRefId:
access to
    attrs=supannRefId val.regex="^\\{RPRO\\}"
    by group=cn=ldap.acl.rpro.read,ou=groups,dc=univ-x,dc=fr read
    by * none

# 2) Les membres du groupe "cn=ldap.acl.pstages.read" ne peuvent lire  
# QUE les valeurs étiquetées {PSTAGES} du supannRefId:
access to
    attrs=supannRefId val.regex="^\\{PSTAGES\\}"
    by group=cn=ldap.acl.pstages.read,ou=groups,dc=univ-x,dc=fr read
    by * break
access to
    attrs=supannRefId
    by group=cn=ldap.acl.pstages.read,ou=groups,dc=univ-x,dc=fr none
    by * break

# Dans les autres cas, autorise la recherche des valeurs par
# tout le monde et la lecture par leur propriétaire:
access to
    attrs=supannRefId
    by self read
    by * search