VMware Vcenter cu FreeIPA - permisiuni pentru grup

Am o problemă cu permisiunile pentru grupuri în vmware. Configurația mea în Vmware:

Tip sursă de identitate: OpenLDAP
Nume: FreeIpa
Nume distinctiv de bază pentru utilizatori: cn=users,cn=accounts,dc=freeipa,dc=eu1,dc=d
Nume distinctiv de bază pentru grup: cn=grupuri,cn=conturi,dc=freeipa,dc=eu1,dc=d
Nume de domeniu: freeipa.example.com
alias de domeniu: freeipa.eu1.d
Nume utilizator: uid=system-vmware-vcenter,cn=sysaccounts,cn=etc,dc=freeipa,dc=eu1,dc=d
parola: XXXX
Adresa URL a serverului principal: ldap://X.X.X.X

Aceste setări afișează corect utilizatorii și grupurile în „Permisiuni globale”

Problema este când acordă permisiuni grupului. Chiar dacă utilizatorul se află într-un grup, el nu are permisiuni.

Când adaug permisiuni pentru un anumit utilizator - funcționează.

Este posibil ca permisiunile să funcționeze pentru membrii grupului?

Am încercat să schimb de la cn=accounts la cn=compat

Nume distinctiv de bază pentru utilizatori: cn=group,cn=compat,dc=freeipa,dc=eu1,dc=d
Nume distinctiv de bază pentru grup: cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d

Dar apoi nu găsește nici grupuri, nici utilizatori.

Exemplu de grup din cn=compat

ldapsearch -x -b "cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d" cn=testvc
# LDIF extins
#
# LDAPv3
# de bază <cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d> cu subtree scope
# filtru: cn=testvc
# solicită: TOATE
#

# testvc, grupuri, compat, freeipa.eu1.d
dn: cn=testvc,cn=grupuri,cn=compat,dc=freeipa,dc=eu1,dc=d
objectClass: posixGroup
objectClass: ipaOverrideTarget
objectClass: ipaexternalgroup
objectClass: groupOfUniqueNames
objectClass: top
gidNumăr: 1059900518
memberUid: testvc1
ipaAnchorUUID:: OklQQTpmcmVlaXBhLmV1MS5kOmQwYTYwYWQ2LTE0OTEtMTFlYy05NDAzLTAwNT
 A1NmFkZjA3Nw==
unicMember: uid=testvc1,cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d
cn: testvc

# rezultatul căutării
cautare: 2
rezultat: 0 Succes

# numResponses: 2
# numEntries: 1

exemplu din cn=conturi

ldapsearch -x -b "cn=grupuri,cn=conturi,dc=freeipa,dc=eu1,dc=d" cn=access.vmware.all-admin

# LDIF extins
#
# LDAPv3
# de bază <cn=groups,cn=conturi,dc=freeipa,dc=eu1,dc=d> cu subarborele de aplicare
# filtru: cn=access.vmware.all-admin
# solicită: TOATE
#

# access.vmware.all-admin, grupuri, conturi, freeipa.eu1.d
dn: cn=access.vmware.all-admin,cn=groups,cn=conturi,dc=freeipa,dc=eu1,dc=d
objectClass: top
objectClass: groupofnames
objectClass: grup imbricat
objectClass: ipausergroup
objectClass: ipaobject
objectClass: groupOfUniqueNames
cn: access.vmware.all-admin
ipaUniqueID: 1bcbf37a-1467-11ec-a8b3-005056adf077

# rezultatul căutării
cautare: 2
rezultat: 0 Succes

# numResponses: 2
# numEntries: 1

Am văzut că

https://www.freeipa.org/page/HowTo/vsphere5_integration#vSphere_Configuration

https://cloudalbania.com/2021/05/28/creating-new-openldap-server-with/

https://howtovmlinux.com/articles/vmware/vcenter/integrate-freeipa-idm-with-vcsa-vcenter-server-for-user-authentications.html