VMware Vcenter с FreeIPA — разрешения для группы

У меня проблема с разрешениями для групп в vmware. Моя конфигурация в Vmware:

Тип источника идентификации: OpenLDAP
Имя: FreeIpa
Базовое отличительное имя для пользователей: cn=users,cn=accounts,dc=freeipa,dc=eu1,dc=d
Базовое отличительное имя для группы: cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d
Доменное имя: freeipa.example.com
псевдоним домена: freeipa.eu1.d
Имя пользователя: uid=system-vmware-vcenter,cn=sysaccounts,cn=etc,dc=freeipa,dc=eu1,dc=d
пароль: ХХХХ
URL основного сервера: ldap://X.X.X.X.

Эти настройки корректно отображают пользователей и группы в «Глобальных разрешениях».

Проблема в том, когда он предоставляет разрешения группе. Несмотря на то, что пользователь находится в группе, у него нет разрешений.

Когда добавляю разрешения для конкретного пользователя - работает.

Возможно ли, чтобы разрешения работали для членов группы?

Я попытался перейти с cn=accounts на cn=compat

Базовое отличительное имя для пользователей: cn=group,cn=compat,dc=freeipa,dc=eu1,dc=d
Базовое отличительное имя для группы: cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d

Но тогда не находит ни групп, ни пользователей.

Пример группы из cn=compat

ldapsearch -x -b "cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d" cn=testvc
# расширенный LDIF
#
# LDAPv3
# база <cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d> с поддеревом области действия
# фильтр: cn=testvc
# запрос: ВСЕ
#

# testvc, группы, совместимость, freeipa.eu1.d
dn: cn=testvc,cn=groups,cn=compat,dc=freeipa,dc=eu1,dc=d
класс объекта: posixGroup
класс объекта: ipaOverrideTarget
класс объекта: ipaexternalgroup
объектный класс: groupOfUniqueNames
класс объекта: верхний
номер гида: 1059900518
пользовательский идентификатор: testvc1
ipaAnchorUUID:: OklQQTpmcmVlaXBhLmV1MS5kOmQwYTYwYWQ2LTE0OTEtMTFlYy05NDAzLTAwNT
 A1NmFkZjA3Nw==
уникальный член: uid=testvc1,cn=users,cn=compat,dc=freeipa,dc=eu1,dc=d
Сп: тествк

# результат поиска
поиск: 2
результат: 0 успех

# числоОтветов: 2
# количество записей: 1

пример из cn=accounts

ldapsearch -x -b "cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d" cn=access.vmware.all-admin

# расширенный LDIF
#
# LDAPv3
# база <cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d> с поддеревом области видимости
# фильтр: cn=access.vmware.all-admin
# запрос: ВСЕ
#

# access.vmware.all-admin, группы, учетные записи, freeipa.eu1.d
DN: cn=access.vmware.all-admin,cn=groups,cn=accounts,dc=freeipa,dc=eu1,dc=d
класс объекта: верхний
objectClass: группа имен
класс объекта: вложенная группа
класс объекта: ipausergroup
класс объекта: ipaobject
объектный класс: groupOfUniqueNames
сп: access.vmware.all-admin
ipaUniqueID: 1bcbf37a-1467-11ec-a8b3-005056adf077

# результат поиска
поиск: 2
результат: 0 успех

# числоОтветов: 2
# количество записей: 1

я видел это

https://www.freeipa.org/page/HowTo/vsphere5_integration#vSphere_Configuration

https://cloudalbania.com/2021/05/28/creating-new-openldap-server-with/

https://howtovmlinux.com/articles/vmware/vcenter/integrate-freeipa-idm-with-vcsa-vcenter-server-for-user-authentications.html