LDAP, Usuários, Grupos e Roles no JBoss

Tenho uma base LDAP com a seguinte estrutura:

usuário dentro de grupos;
grupos e usuários em Roles.

É possível fazer essa configuração apenas no login-config utilizando o LdapExtLoginModule ou é necessário criar um LoginModule customizado? Se sim, alguém tem algum exemplo ou documentação?

Grato