Конфигурация GlassFish LDAP для групп

Я использую Область LDAP в GlassFish для аутентификации и хочу сопоставить группы с JAAS ролям, используемым в JSF. Есть две группы, ADMIN и USER. Мой вопрос заключается в том, как правильно настроить GlassFish, чтобы обе группы могли войти в систему и сопоставить их с различными ролями.

Текущая конфигурация, все заглавные буквы являются подстановками для реальных значений:

Directory:     ldap://SERVER:389
Base DN:       ou=USERS,o=COMPANY
Assign Groups: Authenticated

Внутри объекта пользователя LDAP группа находится в атрибуте groupMembership, например:

groupMembership: cn=ADMIN/USER,ou=GROUPS,ou=FOOBAR,o=COMPANY

Текущее отображение:

<security-role-mapping>
    <role-name>Authenticated</role-name>
    <group-name>Authenticated</group-name>
</security-role-mapping>

Мне только нужно, чтобы пользователи группы ADMIN имели другую роль, которая позволяет мне предоставлять им доступ к ограниченной области моего приложения JSF, к которой просто "аутентифицированные" пользователи не имеют доступа.