VMware Vcenter với FreeIPA - quyền cho nhóm

Tôi gặp sự cố với quyền đối với các nhóm trong vmware. Cấu hình của tôi trong Vmware:

Loại nguồn nhận dạng: OpenLDAP
Tên: FreeIpa
Tên phân biệt cơ sở cho người dùng: cn=users,cn=accounts,dc=freeipa,dc=eu1,dc=d
Tên phân biệt cơ sở cho nhóm: cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d
Tên miền: freeipa.example.com
bí danh tên miền: freeipa.eu1.d
Tên người dùng: uid=system-vmware-vcenter,cn=sysaccounts,cn=etc,dc=freeipa,dc=eu1,dc=d
mật khẩu: XXXX
URL máy chủ chính: ldap://X.X.X.X

Các cài đặt này hiển thị chính xác người dùng và nhóm trong "Quyền chung"

Vấn đề là khi nó cấp quyền cho nhóm. Mặc dù người dùng ở trong một nhóm nhưng anh ta không có quyền.

Khi tôi thêm quyền cho một người dùng cụ thể - nó hoạt động.

Có thể cho phép làm việc cho các thành viên nhóm?

Tôi đã cố thay đổi từ cn=accounts thành cn=compat

Tên phân biệt cơ sở cho người dùng: cn=group,cn=compat,dc=freeipa,dc=eu1,dc=d
Tên phân biệt cơ sở cho nhóm: cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d

Nhưng sau đó nó không tìm thấy nhóm cũng như người dùng.

Nhóm ví dụ từ cn=compat

ldapsearch -x -b "cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d" cn=testvc
# LDIF mở rộng
#
# LDAPv3
# cơ sở <cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d> với cây con phạm vi
# bộ lọc: cn=testvc
# yêu cầu: TẤT CẢ
#

# testvc, nhóm, so sánh, freeipa.eu1.d
dn: cn=testvc,cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d
objectClass: posixGroup
đối tượngClass: ipaOverrideTarget
objectClass: ipaexternalgroup
objectClass: groupOfUniqueNames
đối tượngClass: hàng đầu
gidNumber: 1059900518
thành viênUid: testvc1
ipaAnchorUUID:: OklQQTpmcmVlaXBhLmV1MS5kOmQwYTYwYWQ2LTE0OTEtMTFlYy05NDAzLTAwNT
 A1NmFkZjA3Nw==
uniqueMember: uid=testvc1,cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d
cn: testvc

# tìm kêt quả
tìm kiếm: 2
kết quả: 0 Thành công

# numResponses: 2
# numEntries: 1

ví dụ từ cn=accounts

ldapsearch -x -b "cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d" cn=access.vmware.all-admin

# LDIF mở rộng
#
# LDAPv3
# cơ sở <cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d> với cây con phạm vi
# bộ lọc: cn=access.vmware.all-admin
# yêu cầu: TẤT CẢ
#

# access.vmware.all-admin, nhóm, tài khoản, freeipa.eu1.d
dn: cn=access.vmware.all-admin,cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d
đối tượngClass: hàng đầu
objectClass: nhóm tên
objectClass: nhóm lồng nhau
đối tượngClass: ipausergroup
lớp đối tượng: ipaobject
objectClass: groupOfUniqueNames
cn: access.vmware.all-admin
ipaUniqueID: 1bcbf37a-1467-11ec-a8b3-005056adf077

# tìm kêt quả
tìm kiếm: 2
kết quả: 0 Thành công

# numResponses: 2
# numEntries: 1

tôi đã thấy điều đó

https://www.freeipa.org/page/HowTo/vsphere5_integration#vSphere_Configuration

https://cloudalbania.com/2021/05/28/creating-new-openldap-server-with/

https://howtovmlinux.com/articles/vmware/vcenter/integrate-freeipa-idm-with-vcsa-vcenter-server-for-user-authentications.html