Можно ли наложить локальные атрибуты LDAP поверх реплицированного дерева?

Центральный сервер LDAP предоставляет пользовательские данные как posixAccount, при этом атрибуты homeDirectoryи loginShellпусты. Я хочу разрешить пользователям на этом центральном сервере LDAP доступ к системе Linux.

Если я использую syncreplдля репликации данных на локальный сервер LDAP, я могу использовать sssdдля установки homeDirectory. Я также мог бы использовать sssd, чтобы установить loginShellдля всех, скажем, /usr/bin/bash.

Тем не менее, я хотел бы иметь возможность устанавливать loginShellдля каждого-пользователя, в основном для того, чтобы разрешить установку оболочки на /sbin/nologin, чтобы заблокировать отдельных пользователей от системы.

Можно ли таким образом комбинировать реплицированные данные с локальными данными? Если да, то как?