Почему Все ли группы отображают всех пользователей как участников с Google Secure LDAP?

Похоже, это связано с этими строками в конфигурации G-Suite, рекомендованной для sssd :

ldap_groups_use_matching_rule_in_chain = true
ldap_initgroups_use_matching_rule_in_chain = true

Удалите их, и группы начнут правильно отображать участников (ну, в основном, группы с псевдо-сущностью «Все» в качестве члена показывают только явно перечисленные члены).

В частности, это связано с ldap_groups_use_matching_rule_in_chain . Из man sssd-ldap :

ldap_groups_use_matching_rule_in_chain

Этот параметр указывает SSSD использовать преимущества активного Особенность каталога, которая может ускорить операции поиска в группах при развертывании со сложными или глубоко вложенными группами. В большинстве случаев случаях лучше оставить эту опцию отключенной. Это вообще только обеспечивает повышение производительности для очень сложных вложений.

Если этот параметр включен, SSSD будет использовать его, если обнаружит, что сервер поддерживает его при первоначальном подключении. Так что "правда" здесь по сути означает «автоматическое обнаружение».

Примечание. В настоящее время известно, что эта функция работает только с Active Directory 2008 R1 и новее. См. Документацию MSDN (TM) 2 для получения дополнительной информации. подробности.

По умолчанию: False

И проверка документов MSDN:

• 1.2.840.113556.1.4.1941 LDAP_MATCHING_RULE_IN_CHAIN ​​ Это правило ограничено фильтрами, которые применяются к DN. Это специальный «расширенный» оператор сопоставления, который просматривает цепочку предков в объектах вплоть до корня, пока не найдет совпадение.

И 1.2.840.113556.1.4.1941 - используемое правило в запросах от sssd.

Я недостаточно хорошо разбираюсь в LDAP-запросах, чтобы судить, какой из запросов SSSD или сервиса Google LDAP неисправен. Не совсем понятно, как я должен сообщать о таких технических недостатках в справочном центре, поэтому я не сообщил об этом в Google.